Файловые вирусы

Файловые вирусы

Файловый вирус - К данной группе относятся вирусы, которые при своем размножении  тем или иным способом используют файловую систему какой-либо (или  каких-либо) ОС. Внедрение файлового  вируса возможно практически во все  исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых  объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвера Windows 3.x и Windows95. Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу

По способу  заражения файлов вирусы делятся  на "overwriting(с англ. Перезаписи)", паразитические ("parasitic"), компаньон-вирусы ("companion"), "link"-вирусы, вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.

Overwriting

Данный метод  заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая  его содержимое. Естественно, что  при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так  как операционная система и приложения довольно быстро перестают работать. Мне не известно ни одного случая, когда  подобного типа вирусы были бы обнаружены "в живом виде" и стали  причиной эпидемии.

К разновидности overwriting-вирусов относятся вирусы, которые записываются вместо DOS-заголовка NewEXE-файлов. Основная часть файла  при этом остается без изменений  и продолжает нормально работать в соответствующей операционной системе, однако DOS-заголовок оказывается  испорченным.

Parasitic

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов ("prepending"), в конец файлов ("appending") и в середину файлов ("inserting"). В свою очередь, внедрение вирусов в середину файлов происходит различными методами - путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла ("cavity"-вирусы).

Файловые черви 

 Файловые  черви (worms) являются в некотором смысле разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям "специальные" имена, чтобы подтолкнуть пользователя на запуск своей копии, например INSTALL.EXE или WINSTART.BAT.

Не следует  путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении  пользуются сетевыми протоколами.

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования неризидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину» (хотя еще неизвестно, кто в такой ситуации «хозяин»).

Какие же действия выполняет вирус? Он ищет новый объект для заражения — подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный», попадаются и такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции (размножение), вирус может сделать что-нибудь замысловатое (сказать, спросить, сыграть; это уже зависит от фантазии автора вируса). Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код, следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

• он не обязан менять длину файла;
• неиспользуемые участки кода
• не обязан менять начало файла.

Алгоритм работы файлового  вируса

 Получив управление, вирус совершает следующие действия (приводим список наиболее общих  действий вируса при его выполнении; для конкретного вируса список  может быть дополнен, пункты могут  поменяться местами и значительно  расшириться) :

 — резидентный  вирус проверяет оперативную  память на наличие своей копии  и инфицирует память компьютера, если копия вируса не найдена;  нерезидентный вирус ищет незараженные  файлы в текущем и (или) корневом  каталогах, в каталогах, отмеченных  командой PATH, сканирует дерево каталогов  логических дисков, а затем заражает  обнаруженные файлы; 

Разработаны уже  вирусы , заражающие файлы, в которых находятся исходные коды программ, объектные или библиотечные модули. Кроме того, возможна запись файлового вируса и в различные файлы данных, но это происходит либо в результате системной ошибки самого вируса, либо при проявлении вирусом каких-то агрессивных свойств.