Souborové viry

Jak již bylo uvedeno, souborové viry se orientují na odlišný typ napadeného objektu – soubory. Znovu opakujeme, že v tomto případě pojmem soubory myslíme programové soubory – zkráceně programy.

Přepisující souborové viry

Pravděpodobně nejstupidnější existující formou počítačových virů jsou viry přepisující. Jsou uživatelem okamžitě zpozorovány a tak se jejich šance na šíření z počítače na počítač blíží nule.

Virus pouze vyhledává spustitelné soubory, přepisuje jejich původní obsah sám sebou a tím je vlastně ničí. Skutečnost, že napadený program není nadále možné spouštět, se obvykle viry snaží maskovat nějakým (více či méně nejapným) chybovým hlášením.

- kód viru - původní obsah souboru

Zjednodušené schéma čistého souboru (1) a obraz jeho infekce přepisujícím virem (2).

Doprovodné viry

Operační systém MS–DOS se při požadavku na spuštění programu X snaží nejprve spustit soubor X.COM a teprve poté X.EXE. Toho využívají doprovodné viry, které k existujícím EXE souborům vytvoří své kopie s příponou COM.

Při spuštění programu se tak nejprve spustí virus, který provede vše, co uzná za vhodné, a poté předá řízení původnímu programu.

Tento způsob šíření není příliš efektivní a má jedinou výhodu – doprovodný virus nemusí modifikovat obsah žádného existujícího souboru a je tedy méně pravděpodobné, že ho zachytí nějaká kontrola integrity dat nebo rezidentní ochrana.

- kód viru - původní obsah souboru

Zjednodušené schéma infekce doprovodným virem. Původní soubor s příponou EXE zůstává nezměněn, ale v adresáři se objevuje nový program téhož jména s příponou COM.

Link viry

Jako "Link viry" označujeme ty souborové viry, které se připojují k infikovanému souboru a zachovávají jeho původní funkce. Je zřejmé, že tyto viry mají daleko větší šance než zástupci dvou výše popsaných skupin (přepisující a doprovodné viry).

Tyto viry modifikují kód své oběti tak, aby při spuštění infikovaného souboru byl spuštěn kód viru, který vykoná vše, co považuje za nutné, a poté obnoví a spustí původní program.

- kód viru - původní obsah souboru

> - instrukce skoku - odložený původní obsah

Zjednodušené schéma infekce link virem. Nejčastěji je na začátek zdravého souboru (1) vloženo několik instrukcí, které předají řízení viru umístěnému za koncem původního souboru (2). Jednodušší viry se vkládají na začátek své oběti (napsat takový virus je snadnější) a původní obsah jejího začátku připojí na konec (3) nebo za své tělo přikopírují celý původní program (4). Virus se také může vložit kamkoli do těla své oběti (5), může se (v obvykle marné snaze o zmatení antivirového programu) spouštět přes několik roztroušených ostrůvků instrukcí (6) a bylo by možné najít mnoho dalších způsobů.

Připojení těla viru ke kódu jeho oběti ovšem znamená zvětšení velikosti původního souboru. To je přímo inzerát viru "Haló, jsem tady" a tak se pisálci virů snaží tuto skutečnost nějak zamaskovat.

Lépe může fungovat "aktivní" ochrana. Pro rezidentní virus je totiž relativně jednoduché převzít kontrolu služeb operačního systému pro práci s adresáři a u infikovaných souborů korigovat informaci o jejich délce na původní hodnotu.

Tato stealth technika má ovšem sama o sobě řadu nepříjemných důsledků. Pokud nějaký program otevře takto chráněný soubor, tak zjistí, že skutečná délka neodpovídá údajům z adresáře a může se začít chovat zmateně. Utility typu CHKDSK nebo NDD zase zjistí, že obsah disku je nějak poškozen a pokusí se ho s více či méně katastrofálními důsledky "opravit".

Multipartitní viry

Hlavní výhodou bootvirů je to, že se dostanou do paměti jako vůbec první program zaváděný z disku nebo diskety. Díky tomu mají k dispozici informace o stavu počítače bezprostředně po jeho startu a mohou také ovlivňovat činnost všech následně spuštěných programů.

Časné zavedení je ovšem současně i jejich nevýhodou – nemají totiž ještě k dispozici operační systém a jsou tak odkázány na nejnižší úroveň systémových služeb BIOSu, nemohou napadat soubory a možnosti jejich rychlého šíření jsou tudíž omezené.

Souborové viry mají k dispozici "vyšší" úroveň služeb operačního systému a napadají soubory – daleko častěji šířené objekty.

Multipartitní viry kombinují výhody obou výše zmíněných postupů. Dokáží infikovat nejen Partition tabulku pevného disku, ale i spustitelné soubory. Při útoku na soubor mohou multipartitní viry použít libovolný postup souborové infekce a napadení systémové oblasti je shodné s technikami používanými běžnými bootviry.

Jediná technicky poněkud obtížnější pasáž spočívá v tom, že multipartitní virus se po svém zavedení ze systémové oblasti do paměti musí chvíli chovat trpělivě – počkat, až bude dokončeno zavádění operačního systému a teprve poté převzít kontrolu nad "vyšší úrovní" služeb DOSu.

Že tento problém je řešitelný, předváděl "k velké radosti" uživatelů třeba One_Half – jeden z vůbec nejrozšířenějších multipartitních virů na světě.