![]() |
![]() |
|
Dir IIInfekční rutinu viru je možno rozdělit do dvou částí. První souvisí s napadením celého disku. Virus zjisti poslední cluster na disku, zapíše do něho sebe sama a v tabulce FAT jej zvláštním způsobem označí jako obsazený. Pokud tento cluster náležel nějakému souboru, je tento soubor virem přepsán a zníčen. Je to však jediná škoda, kterou virus může trvale způsobit. Druhá část infekční rutiny souvisí s modifikací adresářů. Virus totiž manipuluje s položkou v adresáři, ve kterém je uloženo místo na disku, na kterém soubor začíná (First Cluster Pointer, FCP). Virus změní tento parametr u všech souborů typu EXE a COM tak, že všechny programy začínají kódem viru. Originální hodnota je zakódována a uložena na volné (rezervované) místo v položce adresáře. Virus tímto způsobem najednou napadá všechny soubory v daném adresáři a proto se velmi rychle šíří. Virus kontroluje pouze rozšíření a ne jméno souboru, a proto napadá i smazané soubory (!!!). Virus neustále při práci s adresářem přepíná položky FCP mezi původními a modifikovanými hodnotami, aby mohl operační systém vůbec pracovat. Jako vedlejší efekt z toho vyplývají i určité vlastnosti typu stealth (skrývání). Pokud je virus aktivní v paměti, chová se počítač celkem normálně. Když je však zaveden systém z čísté diskety, jsou všechny napadené soubory pouze 1024 bytů dlouhé a program CHKDSK hlásí spousty chyb (všechny programy začínají na stejném místě - křížení souborů). Stejným způsobem se chová infikovaná disketa v nezavirovaném počítači. Po zjištění viru v počítači lze jen těžko napadené soubory zálohovat. Pokud je virus v paměti, jsou na záložní média přeneseny infikované programy, pokud není virus aktivní, je na disku pouze velký zmatek. Existuje velmi jednoduchý způsob, jak můžete bez zvláštních prostředků virus z disku odstranit. Stačí totiž v okamžiku, kdy je virus aktivní, přejmenovat ve všech adresářích všechny soubory typu COM (například na *.CO_) a EXE (například na *.EX_). Virus sám uvede příslušné položky adresáře do původního stavu. Pokud chcete zachránit i programy na disketách, je nutno provést stejný úkon i na nich. Poté je nutno zavést systém z originální diskety a všechny soubory přejmenovat zpět. Programem CHKDSK je možno odstranit cluster obsazený virem. Program, který i po tomto kroku virus obsahuje, je pravděpodobně zdrojem celé nákazy. |
||
![]() |
![]() |