вирусы записывающие свой код вместо кода заражаемого файла уничтожая его содержимое это

Информационная безопасность (ПИЭ) (стр. 4 )

Из за большого объема этот материал размещен на нескольких страницах: 1 2 3 4

Это программы, которые на первый взгляд являются стопроценными вирусами, но неспособны размножаться по причине ошибок. Например, вирус, который при заражении «забывает» поместить в начало файлов команду передачи управления на код вируса.

Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика

82. Выбери правильный ответ

Какие программы относятся к программам полиморфик-генераторы?

Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.

Это программы, наносящие какие-либо разрушительные действия, т. е. в зависимости от определенных условий или при каждом запуске уничтожающие информацию на дисках, приводящие систему к зависанию и т. п.

Это программы, которые на первый взгляд являются стопроцентными вирусами, но неспособны размножаться по причине ошибок. Например, вирус, который при заражении «забывает» поместить в начало файлов команду передачи управления на код вируса.

Это утилита, предназначенная для изготовления новых компьютерных вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули и/или непосредственно зараженные файлы

83. Выбери правильный ответ

В чем заключается принцип работы макровируса?

Вирусы заражают файлы-документы и электронные таблицы популярных редакторов.

Вирусы либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.

Вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик винчестера, либо меняют указатель на активный boot-сектор.

84. Выбери правильный ответ

В чем заключается принцип работы сетевого вируса?

Вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Вирусы либо различными способами внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.

Вирусы записывают себя либо в загрузочний сектор диска, либо в сектор, содержащий системный загрузчик винчестера, либо меняют указатель на активный boot-сектор.

85. Выбери правильный ответ

На чем основан алгоритм работы резедентного вируса?

Вирус при инфицировании компьютера оставляет в оперативной памяти свою часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Эти вирусы находятся в памяти и являются активными вплоть до выключения компьютера.

Использование этих алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов и затем вирусы временно лечат их.

Используются для того, чтобы максимально усложнить процедуру обнаружения вируса. Эти вирусы трудно поддаются обнаружению. Два образца не будут иметь ни одного совпадения

86. Выбери правильный ответ

На чем основан алгоритм работы вируса с использованием «стелс»-алгоритмов?

Использование этих алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным алгоритмом является перехват запросов ОС на чтение-запись зараженных объектов, затем вирусы временно лечат их.

Вирус при инфицировании оставляет в оперативной памяти свою часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Эти вирусы находятся в памяти вплоть до выключения компьютера.

Используются для того, чтобы максимально усложнить процедуру обнаружения вируса. Эти вирусы достаточно трудно поддаются обнаружению, они не содержат ни одного постоянного участка кода.

87. Выбери правильный ответ

На чем основан алгоритм работы вируса с использованием самошифрования и полиморфичности?

Эти вирусы достаточно трудно поддаются обнаружению, они не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного итого же вируса не будут иметь ни одного совпадения.

Вирус оставляет в оперативной памяти свою часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Эти вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС.

Использование этих алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным является перехват запросов ОС на чтение-запись зараженных объектов, затем вирусы временно лечат их.

88. По деструктивным возможностям, как влияют на работу компьютера безвредные вирусы?

Никак не влияющие на работу компьютера, кроме уменьшения свободной памяти на диске в результате своего распространения.

Влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами.

Могут привести к серьезным сбоям в работе компьютера.

В алгоритм работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

89. Выбери правильный ответ

По деструктивным возможностям, как влияют на работу компьютера не опасные вирусы?

Влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами.

Никак не влияющие на работу компьютера, кроме уменьшения свободной памяти на диске в результате своего распространения.

Могут привести к серьезным сбоям в работе компьютера.

В алгоритм работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти

90. Выбери правильный ответ

По диструктивным возможностям, как влияют на работу компьютера опасные вирусы?

Могут привести к серьезным сбоям в работе компьютера.

Никак не влияющие на работу компьютера, кроме уменьшения свободной памяти на диске в результате своего распространения.

Влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами.

В алгоритме работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

91. Выбери правильный ответ

По деструктивным возможностям, как влияют на работу компьютера очень опасные вирусы?

В алгоритм работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.

Никак не влияющие на работу компьютера кроме уменьшения свободной памяти на диске в результате своего распространения.

Влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами.

92. Выбери правильный ответ

По способу заражения файловых вирусов, как работают overwriting-вирусы?

Вирус не изменяет заражаемых файлов. Алгоритм работы состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

При запуске зараженного файла заставляют ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

Вирусы никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем.

Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.

93. Выбери правильный ответ

По способу заражения файловых вирусов, как работают parasitic-вирусы?

Вирус при распространении своих копий обязательно изменяет содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.

Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.

Вирус не изменяет заражаемых файлов. Алгоритм работы состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус

в надежде, что эти новые копии будут когда-либо запущены пользователем

94. Выбери правильный ответ

По способу заражения файловых вирусов, как работают companion-вирусы?

Вирус не изменяет заражаемых файлов. Алгоритм работы состоим в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.

Вирус при распространении своих копий обязательно изменяет содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.

Вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла заставляют ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

95. Выбери правильный ответ

По способу заражения файловых вирусов, как работают link-вирусы?

Вирусы не изменяют физического содержимого файлов, однако при запуске заражаемого файла заставляет ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.

Вирус при распространении своих копий обязательно изменяет содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.

Вирус не изменяет заражаемых файлов. Алгоритм работы состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

96. Выбери правильный ответ

По способу заражения файловых вирусов, как работают файловые черви?

Вирус при распространении своих копий обязательно изменяет содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.

Вирус не изменяет заражаемых файлов. Алгоритм работы состоит в том, что для заражаемого файла управление получает именно этот двойник, т. е. вирус.

Вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла заставляют ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.

Вирусы никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем.

Вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое.

97. Выбери правильный ответ

Какие программы относятся к программам «Троянские кони» (логические бомбы)

Это программы, наносящие какие-либо разрушительные действия, т. е. в зависимости от определенных условий или при каждом запуске уничтожающие информацию на дисках, приводящие систему к зависанию и т. п.

Это программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении «забывает» поместить в начало файлов команду передачи управления на код вируса.

Это утилита, предназначенная для изготовления новых компьютерных вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули и/или непосредственно зараженные файлы.

Главной функцией подобного рада программ является шифрование тела вируса и генерация соответствующего расшифровщика.

98. Выбери правильный ответ

Какие программы относятся к программам Intended-вирусы?

Это программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении «забывает» поместить в начало файлов команду передачи управления на код вируса.

Это программы, наносящие какие-либо разрушительные действия, т. е. в зависимости от определенных условий или при каждом запуске уничтожающие информацию на дисках, приводящие систему к зависанию и т. п.

Это утилита, предназначенная для изготовления новых компьютерных вирусов. Они позволяют генерировать исходные тексты вирусов (ASM-файлы), объектные модули и/или непосредственно зараженные файлы.

Главной функцией подобного рода программ является шифрование тела вируса и генерация соответствующего расшифровщика.

99. Физическое лицо, доверившее сведения другому лицу, а также его правопреемники

100. физическое или юридическое лицо, которому исключительно в силу его профессиональной деятельности были доверены или стали известны сведения, составляющие профессиональную тайну

Источник

Вирусы записывающие свой код вместо кода заражаемого файла уничтожая его содержимое это

Вредоносные программы и вирусы

Вместо вступления

Уважаемые пользователи, материал данной статьи нельзя считать полным и исчерпывающим, так как прогресс неуклонно движется вперед и, к сожалению технологии, по написанию вирусов и вредоносных программ также совершенствуются. Данная статья составлена в ознакомительных целях, для повышения образованности и осведомленности пользователей. Я надеюсь (неверное наивно), что изложенный материал никого не подтолкнет к написанию вредоносных программ, а наоборот заставить задуматься. Помните, есть одно мудрое высказывание: «Не плюйте в колодец, испить придется». В нашем случае Интернет это огромный «колодец» информации, из которого мы получаем необходимые для нас с Вами сведения. Содержать его в чистоте наша с Вами прямая обязанность, ведь мы являемся его неотъемлемыми частицами (пусть косвенно, но тем не менее:).

Что такое вирусы

Своим названием компьютерные вирусы обязаны определённому сходству с вирусами естественными: способности к самозаражению; высокой скорости распространения; избирательности поражаемых систем (каждый вирус поражает только определённые системы или однородные группы систем); способности «заражать» ещё незаражённые системы; трудности в борьбе с вирусами и т.д..

Классификация компьютерных вирусов

Условно вирусы можно классифицировать по следующим признакам:
* по среде обитания вируса
* по способу заражения среды обитания
* по деструктивным возможностям
* по особенностям алгоритма вируса
* по виду деструктивных действий

Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера.

Чтобы было более понятно, я подробно объясню, как происходит загрузка компьютера: после включения ПК в сеть блок питания посылает сигнал POWER_ON на материнскую плату, та в свою очередь проверяет напряжения в цепи питания, если оно соответствует норме, то компьютер включается. Далее управление получает программа в BIOS (Basic Input Output System) видеокарты, она производит тестирование компонентов видеокарты и при получении положительных данных, передает управление BIOS материнской платы. Он запускает процедуру POST (Power-On Self Test), которая производит самотестирование всех компонентов системы, если тестирование происходит удачно и все найденные устройства вернули положительные сигналы, BIOS в соответствии с данными в разделе Boot и передает управление тому устройству, которое стоит в данном списке первым. Управление передается посредством поиска первого физического сектора, считывания его и запуска начального загрузчика.

В случае винчестера управление получает, выше указанный, начальный загрузчик который, анализирует таблицу разбиения диска (Disk Partition Table), вычисляет адрес активного boot-сектора (обычно этим сектором является boot-сектор диска C:), загружает его в память и передает на него управление. Получив управление, активный boot-сектор винчестера проделывает те же действия, что и boot-сектор дискеты. Далее все проще, в системных файлах находится загрузчик операционной системы, который и производит дальнейшую загрузку ОС.

При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Существует несколько вариантов размещения на диске первоначального загрузочного сектора и продолжения вируса: в сектора свободных кластеров логического диска, в неиспользуемые или редко используемые системные сектора, в сектора, расположенные за пределами диска.

Некоторые вирусы записывают свой код в последние сектора винчестера, поскольку эти сектора используются только тогда, когда винчестер полностью заполнен информацией. Реже используется метод сохранения продолжения вируса за пределами диска. Достигается это двумя способами. Первый сводится к уменьшению размеров логических дисков: вирус вычитает необходимые значения из соответствующих полей BPB boot-сектора и Disk Partition Table винчестера (если заражается винчестер), уменьшает, таким образом, размер логического диска и записывает свой код в «отрезанные» от него сектора.

Конечно, существуют и другие методы размещения вируса на диске, например, некоторые вирусы содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.

Алгоритм работы загрузочного вируса

В дальнейшем загрузочный вирус ведет себя так же, как резидентный файловый: перехватывает обращения операционной системы к дискам и инфицирует их, в зависимости от некоторых условий совершает деструктивные действия или вызывает звуковые или видеоэффекты.

Файловые вирусы

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо ОС.

Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС, а также динамические и виртуальные библиотеки драйверов (dll,VxD) и многие другие файлы.

По способу заражения файлов вирусы делятся на переписчиков («overwriting»), паразитические («parasitic»), компаньон-вирусы («companion»), «link»-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.

Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

К разновидности overwriting-вирусов относятся вирусы, которые записываются вместо заголовка EXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально работать в соответствующей операционной системе, однако заголовок файла оказывается испорченным.

Вирусы паразиты (Parasitic)

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сими файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов («prepending»), в конец файлов («appending») и в середину файлов («inserting»). В свою очередь, внедрение вирусов в середину файлов происходит различными методами: путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла («cavity»-вирусы).

Внедрение вируса в начало файла

Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конкатенацию на диск. Некоторые вирусы при этом дописывают в конец файла блок дополнительной информации (например, вирус «Jerusalem» по этому блоку отличает зараженные файлы от незараженных).

Внедрение вируса в начало файла применяется в подавляющем большинстве случаев при заражении DOS’овских BAT- и COM-файлов. Известно несколько вирусов, записывающих себя в начало EXE-файлов операционных систем DOS, Windows и даже Linux. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).

Внедрение вируса в конец файла

Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.

Вирусы, внедряющиеся в SYS-файлы, приписывают свои коды к телу файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера. При инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает его драйверу, ждет ответа на этот запрос, корректирует его и остается вместе с драйвером в одном блоке оперативной памяти. Такой вирус может быть чрезвычайно опасным и живучим, так как он внедряется в оперативную память при загрузке ОС раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.

Существуют также вирусы, заражающие системные драйвера другим способом: вирус модифицирует его заголовок так, что ОС рассматривает инфицированный файл как цепочку из двух (или более) драйверов.

Аналогично вирус может записать свои коды в начало драйвера, а если в файле содержится несколько драйверов, то и в середину файла.

Внедрение вируса в середину файла

Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот cпособ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.

Вторым является метод «cavity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области таблицы настройки адресов DOS EXE-файла или заголовок NewEXE-файла, в область стека файла COMMAND.COM («Lehigh») или в область текстовых сообщений популярных компиляторов («NMSG»). Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.

Вирусы без точки входа

К категории «компаньон» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус.

В третью группу входят так называемые «Path-companion» вирусы, которые «играют» на особенностях DOS PATH. Они либо записывают свой код под именем заражаемого файла, но «выше» на один уровень PATH (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

Файловые черви

Существуют вирусы-черви, записывающие свои копии в архивы (ARJ, ZIP, RAR и прочие). К таким вирусам относятся «ArjVirus» и «Winstart». Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы.

Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.

Link-вирусы

После заражения данные каталога указывают на вирус, т.е. при запуске файла управление получают не файлы, а вирус.

OBJ-, LIB-вирусы и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки.

Алгоритм работы файлового вируса

Получив управление, вирус совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться):
* резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и (или) корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
* возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо:
а) лечат файл, выполняют его, а затем снова заражают
б) восстанавливает программу (но не файл) в исходном виде (например, у COM-программы восстанавливается несколько первых байт, у EXE-программы вычисляется истинный стартовый адрес, у драйвера восстанавливаются значения адресов программ стратегии и прерывания). Компаньон-вирусы запускают на выполнение своего «хозяина», вирусы-черви и overwriting-вирусы возвращают управление ОС.

Метод восстановления программы в первоначальном виде зависит от способа заражения файла. Если вирус внедряется в начало файла, то он либо сдвигает коды зараженной программы на число байт, равное длине вируса, либо перемещает часть кода программы из ее конца в начало, либо восстанавливает файл на диске, а затем запускает его. Если вирус записался в конец файла, то при восстановлении программы он использует информацию, сохраненную в своем теле при заражении файла. Это может быть длина файла, несколько байт начала файла в случае COM-файла или несколько байтов заголовка в случае EXE-файла. Если же вирус записывается в середину файла специальным образом, то при восстановлении файла он использует еще и специальные алгоритмы.

Внедрение вируса в DOS COM- и EXE-файлы

В большинстве случаев вирус инфицирует файл корректно, т.е. по информации, содержащейся в теле вируса, можно полностью восстановить зараженный файл. Но вирусы, как и большинство программ, часто содержат незаметные с первого взгляда ошибки. Из-за этого даже вполне корректно написанный вирус может необратимо испортить файл при его заражении. Например, вирусы, различающие типы файлов по расширению имени (*.COM, *.EXE), очень опасны, так как портят файлы, у которых расширение имени не соответствует внутреннему формату.

Примитивная маскировка

При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание ОС, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.

Скорость распространения

Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус пока неизвестен антивирусным программам). Понятия «быстрого» и «медленного» вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.

Источник