Файловые вирусы, классификация, файловые черви
К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы.
По способу заражения файлов вирусы делятся на:
- overwriting
-parasitic
-компаньон вирусы (companion)
-link
-вирусы-черви
-вирусы зараж-ие объектные модули, библиотеки компьютеров, исходные тексты программ(obj, lib)
Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов(компаньон-вирусы не изменяют содержимое изменяемых файлов, а создают файл-двойник), но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.
Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, "Worm.Info").
Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.
Файловые вирусы, классификация, OBJ-, LIB- вирусы и вирусы в исходных текстах
К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы.
По способу заражения файлов вирусы делятся на:
- overwriting
-parasitic
-компаньон вирусы (companion)
-link
-вирусы-черви
-вирусы зараж-ие объектные модули, библиотеки компьютеров, исходные тексты программ(obj, lib)
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIВ-файлы, записывают в них свой код в формате объектного модуля или библиотеки.
Зараженный файл при этом не является выполняемым и не способен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится СОМ- или ЕХЕ-файл, получаемый в процессе компоновки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором (компоновка) получается работоспособный вирус.
Файловые вирусы, классификация, алгоритм работы файлового вируса
К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо операционной системы.
По способу заражения файлов вирусы делятся на:
- overwriting
-parasitic
-компаньон вирусы (companion)
-link
-вирусы-черви
-вирусы зараж-ие объектные модули, библиотеки компьютеров, исходные тексты программ(obj, lib)
Файловый вирус выполняет следущую последовательность действий:
- резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
- выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т.д.;
- возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо a) лечат файл, выполняют его, а затем снова заражают, либо б) восстанавливает программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). Компаньон-вирусы запускают на выполнение своего "хозяина", вирусы-черви и overwriting-вирусы возвращают управление DOS.
