SouborovΘ viry

Jak ji₧ bylo uvedeno, souborovΘ viry se orientujφ na odliÜn² typ napadenΘho objektu û soubory. Znovu opakujeme, ₧e v tomto p°φpad∞ pojmem soubory myslφme programovΘ soubory û zkrßcen∞ programy.

P°episujφcφ souborovΘ viry

Pravd∞podobn∞ nejstupidn∞jÜφ existujφcφ formou poΦφtaΦov²ch vir∙ jsou viry p°episujφcφ. Jsou u₧ivatelem okam₧it∞ zpozorovßny a tak se jejich Üance na Üφ°enφ z poΦφtaΦe na poΦφtaΦ blφ₧φ nule.

Virus pouze vyhledßvß spustitelnΘ soubory, p°episuje jejich p∙vodnφ obsah sßm sebou a tφm je vlastn∞ niΦφ. SkuteΦnost, ₧e napaden² program nenφ nadßle mo₧nΘ spouÜt∞t, se obvykle viry sna₧φ maskovat n∞jak²m (vφce Φi mΘn∞ nejapn²m) chybov²m hlßÜenφm.

- k≤d viru - p∙vodnφ obsah souboru

ZjednoduÜenΘ schΘma ΦistΘho souboru (1) a obraz jeho infekce p°episujφcφm virem (2).

DoprovodnΘ viry

OperaΦnφ systΘm MSûDOS se p°i po₧adavku na spuÜt∞nφ programu X sna₧φ nejprve spustit soubor X.COM a teprve potΘ X.EXE. Toho vyu₧φvajφ doprovodnΘ viry, kterΘ k existujφcφm EXE soubor∙m vytvo°φ svΘ kopie s p°φponou COM.

P°i spuÜt∞nφ programu se tak nejprve spustφ virus, kter² provede vÜe, co uznß za vhodnΘ, a potΘ p°edß °φzenφ p∙vodnφmu programu.

Tento zp∙sob Üφ°enφ nenφ p°φliÜ efektivnφ a mß jedinou v²hodu û doprovodn² virus nemusφ modifikovat obsah ₧ßdnΘho existujφcφho souboru a je tedy mΘn∞ pravd∞podobnΘ, ₧e ho zachytφ n∞jakß kontrola integrity dat nebo rezidentnφ ochrana.

- k≤d viru - p∙vodnφ obsah souboru

ZjednoduÜenΘ schΘma infekce doprovodn²m virem. P∙vodnφ soubor s p°φponou EXE z∙stßvß nezm∞n∞n, ale v adresß°i se objevuje nov² program tΘho₧ jmΘna s p°φponou COM.

Link viry

Jako "Link viry" oznaΦujeme ty souborovΘ viry, kterΘ se p°ipojujφ k infikovanΘmu souboru a zachovßvajφ jeho p∙vodnφ funkce. Je z°ejmΘ, ₧e tyto viry majφ daleko v∞tÜφ Üance ne₧ zßstupci dvou v²Üe popsan²ch skupin (p°episujφcφ a doprovodnΘ viry).

Tyto viry modifikujφ k≤d svΘ ob∞ti tak, aby p°i spuÜt∞nφ infikovanΘho souboru byl spuÜt∞n k≤d viru, kter² vykonß vÜe, co pova₧uje za nutnΘ, a potΘ obnovφ a spustφ p∙vodnφ program.

- k≤d viru - p∙vodnφ obsah souboru

> - instrukce skoku - odlo₧en² p∙vodnφ obsah

ZjednoduÜenΘ schΘma infekce link virem. NejΦast∞ji je na zaΦßtek zdravΘho souboru (1) vlo₧eno n∞kolik instrukcφ, kterΘ p°edajφ °φzenφ viru umφst∞nΘmu za koncem p∙vodnφho souboru (2). JednoduÜÜφ viry se vklßdajφ na zaΦßtek svΘ ob∞ti (napsat takov² virus je snadn∞jÜφ) a p∙vodnφ obsah jejφho zaΦßtku p°ipojφ na konec (3) nebo za svΘ t∞lo p°ikopφrujφ cel² p∙vodnφ program (4). Virus se takΘ m∙₧e vlo₧it kamkoli do t∞la svΘ ob∞ti (5), m∙₧e se (v obvykle marnΘ snaze o zmatenφ antivirovΘho programu) spouÜt∞t p°es n∞kolik roztrouÜen²ch ostr∙vk∙ instrukcφ (6) a bylo by mo₧nΘ najφt mnoho dalÜφch zp∙sob∙.

P°ipojenφ t∞la viru ke k≤du jeho ob∞ti ovÜem znamenß zv∞tÜenφ velikosti p∙vodnφho souboru. To je p°φmo inzerßt viru "Hal≤, jsem tady" a tak se pisßlci vir∙ sna₧φ tuto skuteΦnost n∞jak zamaskovat.

LΘpe m∙₧e fungovat "aktivnφ" ochrana. Pro rezidentnφ virus je toti₧ relativn∞ jednoduchΘ p°evzφt kontrolu slu₧eb operaΦnφho systΘmu pro prßci s adresß°i a u infikovan²ch soubor∙ korigovat informaci o jejich dΘlce na p∙vodnφ hodnotu.

Tato stealth technika mß ovÜem sama o sob∞ °adu nep°φjemn²ch d∙sledk∙. Pokud n∞jak² program otev°e takto chrßn∞n² soubor, tak zjistφ, ₧e skuteΦnß dΘlka neodpovφdß ·daj∙m z adresß°e a m∙₧e se zaΦφt chovat zmaten∞. Utility typu CHKDSK nebo NDD zase zjistφ, ₧e obsah disku je n∞jak poÜkozen a pokusφ se ho s vφce Φi mΘn∞ katastrofßlnφmi d∙sledky "opravit".

Multipartitnφ viry

Hlavnφ v²hodou bootvir∙ je to, ₧e se dostanou do pam∞ti jako v∙bec prvnφ program zavßd∞n² z disku nebo diskety. Dφky tomu majφ k dispozici informace o stavu poΦφtaΦe bezprost°edn∞ po jeho startu a mohou takΘ ovliv≥ovat Φinnost vÜech nßsledn∞ spuÜt∞n²ch program∙.

╚asnΘ zavedenφ je ovÜem souΦasn∞ i jejich nev²hodou û nemajφ toti₧ jeÜt∞ k dispozici operaΦnφ systΘm a jsou tak odkßzßny na nejni₧Üφ ·rove≥ systΘmov²ch slu₧eb BIOSu, nemohou napadat soubory a mo₧nosti jejich rychlΘho Üφ°enφ jsou tudφ₧ omezenΘ.

SouborovΘ viry majφ k dispozici "vyÜÜφ" ·rove≥ slu₧eb operaΦnφho systΘmu a napadajφ soubory û daleko Φast∞ji Üφ°enΘ objekty.

Multipartitnφ viry kombinujφ v²hody obou v²Üe zmφn∞n²ch postup∙. Dokß₧φ infikovat nejen Partition tabulku pevnΘho disku, ale i spustitelnΘ soubory. P°i ·toku na soubor mohou multipartitnφ viry pou₧φt libovoln² postup souborovΘ infekce a napadenφ systΘmovΘ oblasti je shodnΘ s technikami pou₧φvan²mi b∞₧n²mi bootviry.

Jedinß technicky pon∞kud obtφ₧n∞jÜφ pasß₧ spoΦφvß v tom, ₧e multipartitnφ virus se po svΘm zavedenφ ze systΘmovΘ oblasti do pam∞ti musφ chvφli chovat trp∞liv∞ û poΦkat, a₧ bude dokonΦeno zavßd∞nφ operaΦnφho systΘmu a teprve potΘ p°evzφt kontrolu nad "vyÜÜφ ·rovnφ" slu₧eb DOSu.

Äe tento problΘm je °eÜiteln², p°edvßd∞l "k velkΘ radosti" u₧ivatel∙ t°eba One_Half û jeden z v∙bec nejrozÜφ°en∞jÜφch multipartitnφch vir∙ na sv∞t∞.