Файловые вирусы и их классификация

Файловые вирусы и их классификацияК этой группе относятся вирусы, которые во время своего размножения используют любым способом файловую систему операционной системы.

Внедрение такого плана файлового вируса реально практически в любые исполняемые файлы (но есть небольшие исключения) всех популярных на сегодняшний день ОС. К большому сожалению, сегодня известны вирусы, которые поражающие абсолютно все типы исполняемых объектов традиционной DOS: загружаемые драйверы, командные файлы (BAT), и выполняемые двоичные файлы (расширения .EXE и .COM).

Разработаны уже вирусы , заражающие файлы, в которых находятся исходные коды программ, объектные или библиотечные модули. Кроме того, возможна запись файлового вируса и в различные файлы данных, но это происходит либо в результате системной ошибки самого вируса, либо при проявлении вирусом каких-то агрессивных свойств.

По способу заражения файлов этот вид вирусов подразделяют на паразитические («parasitic»), «overwriting», «link»-вирусы, компаньон-вирусы («companion»), вирусы-черви и вирусы, которые заражают библиотеки компиляторов (LIB), объектные модули (OBJ) и исходные тексты программ.

Во время заражения по методу оverwriting, вирус записывает свой программный код взамен кода заражаемого файла, при этом полностью уничтожая все его содержимое. Понятно, что при этом файл становится неработоспособным и восстановить его нереально. Такие вирусы можно очень быстро найти, так как при их действии приложения и вся операционная система в целом очень быстро перестают работать.

Во время заражения по методу Parasitic, файловый вирус во время распространения своих копий по компьютеру обязательно изменяют все содержимое зараженных файлов, при этом сами файлы остаются либо полностью, либо частично работоспособными. Но даже если файл работоспособен, то часть информации может быть все равно утеряна.

Отдельно необходимо рассмотреть незначительную группу вирусов, которые характеризуются тем, что не имеют «точки входа». К ним относятся вирусы, которые во время заражения не записывают команд передачи управления приложению в заголовок COM-файлов (JMP) и абсолютно не меняющих стандартный адрес точки старта в исходном заголовке EXE-файлов. Получают контроль такие вирусы во время запуска зараженного файла, при этом они записывают команду перехода на вирусный программный код в середину файла, чем делают намного сложнее их поиск. Как результат таких действий – вирус может долгие годы не проявлять своей активности и проявить себя только при определенных ограниченных условиях.

Комментарии закрыты.