|
        
|
Dir II
Virus DIR II se liší od všech ostatních druhů virů. Je dlouhý 1024 bytů a je zvláštní v tom, že sice napadá programy typu COM a EXE, ale soubory, ve kterých jsou tyto programy uloženy, vůbec nemodifikuje. Na infikovaném disku se vyskytuje pouze jedenkrát. Pochází z Bulharska. Po svém spuštění se virus instaluje do paměti a pak prochází zřetězené ovládače zařízení (device drivers) a připojí se k nim tak, že je při každém volání diskových operací aktivován. Používá funkce Strategy a Interrupt. Po instalaci spustí hostitelský program a normálním způsobem se ukončí. Pamětově rezidentní virus pak monitoruje přístup na disk a jednak hlídá funkce Build BPB (kvůli správné funkci programu typu CHKDSK) a jednak napadá disky a adresáře.Infekční rutinu viru je možno rozdělit do dvou částí. První souvisí s napadením celého disku. Virus zjisti poslední cluster na disku, zapíše do něho sebe sama a v tabulce FAT jej zvláštním způsobem označí jako obsazený. Pokud tento cluster náležel nějakému souboru, je tento soubor virem přepsán a zníčen. Je to však jediná škoda, kterou virus může trvale způsobit. Druhá část infekční rutiny souvisí s modifikací adresářů. Virus totiž manipuluje s položkou v adresáři, ve kterém je uloženo místo na disku, na kterém soubor začíná (First Cluster Pointer, FCP). Virus změní tento parametr u všech souborů typu EXE a COM tak, že všechny programy začínají kódem viru. Originální hodnota je zakódována a uložena na volné (rezervované) místo v položce adresáře. Virus tímto způsobem najednou napadá všechny soubory v daném adresáři a proto se velmi rychle šíří. Virus kontroluje pouze rozšíření a ne jméno souboru, a proto napadá i smazané soubory (!!!). Virus neustále při práci s adresářem přepíná položky FCP mezi původními a modifikovanými hodnotami, aby mohl operační systém vůbec pracovat. Jako vedlejší efekt z toho vyplývají i určité vlastnosti typu stealth (skrývání).
Pokud je virus aktivní v paměti, chová se počítač celkem normálně. Když je však zaveden systém z čísté diskety, jsou všechny napadené soubory pouze 1024 bytů dlouhé a program CHKDSK hlásí spousty chyb (všechny programy začínají na stejném místě - křížení souborů). Stejným způsobem se chová infikovaná disketa v nezavirovaném počítači.
Po zjištění viru v počítači lze jen těžko napadené soubory zálohovat. Pokud je virus v paměti, jsou na záložní média přeneseny infikované programy, pokud není virus aktivní, je na disku pouze velký zmatek.
Existuje velmi jednoduchý způsob, jak můžete bez zvláštních prostředků virus z disku odstranit. Stačí totiž v okamžiku, kdy je virus aktivní, přejmenovat ve všech adresářích všechny soubory typu COM (například na *.CO_) a EXE (například na *.EX_). Virus sám uvede příslušné položky adresáře do původního stavu. Pokud chcete zachránit i programy na disketách, je nutno provést stejný úkon i na nich.
Poté je nutno zavést systém z originální diskety a všechny soubory přejmenovat zpět. Programem CHKDSK je možno odstranit cluster obsazený virem. Program, který i po tomto kroku virus obsahuje, je pravděpodobně zdrojem celé nákazy.
Zdroj: Alwil software - výrobce antiviru AVAST
