Igiho strßnka o virech

CharakteristickΘ okam₧iky infekce virem

Okam₧ik, kdy virus napadne spustiteln² soubor, je zßvisl² na povaze vir∙. Existujφ dv∞ zßkladnφ koncepce:

Rychlß infikace

Za rychl² infektor je poklßdßn virus, kter² napadß nejenom vÜechny spouÜt∞nΘ, vytvß°enΘ Φi modifikovanΘ porgramy, ale i programy pouze otevφranΘ (nap°. p°i antivirovΘ kontrole). NejrychlejÜφ infektory napadajφ soubory ji₧ p°i zachycenφ volßnφ funkcφ DOSu "Najdi prvnφ soubor" a "Najdi dalÜφ soubor".

Pomalß infikace

Pomal²m infektorem je virus, kter² v∞tÜinou napadß pouze programy nov∞ vytvß°enΘ nebo modifikovanΘ. Principem je, ₧e virus se "sveze" s legßlnφm po₧adavkem na zßpis, v rßmci n∞ho₧ provede svoji replikaci. Tφm odpadß vir∙m °ada problΘm∙, nemusφ nap°. ani obsluhovat kritickou chybu DOSu. V operaΦnφm systΘmu MS-DOS navφc existujφ samo-modifikujφcφ se programy, kterΘ se mohou stßt ideßlnφm terΦem pomalΘ a velice nenßpadnΘ infikace (nap°. program SETVER.EXE pro zajiÜt∞nφ kompatibility program∙ mezi r∙zn²mi verzemi operaΦnφho systΘmu).

ObΦasnß infikace

ObΦasnß infikace je variantnφ formou pomalΘ infikace. Podstatou je spln∞nφ urΦitΘ logickΘ podmφnky, nap°. infikace ka₧dΘho dvacßtΘho spouÜt∞nΘho programu, infikace pouze v urΦitΘ hodiny, infikace program∙ spl≥ujφcφch definovan² rozsah dΘlky apod. Podle pojetφ konkrΘtnφ podmφnky mohou b²t obΦasnΘ infektory rychlostφ svΘho rozÜφ°enφ bu∩ rychlejÜφ nebo pomalejÜφ ne₧ infektory pomalΘ.

Rozdφl v pojetφ je z°ejm². Rychl² infektor zp∙sobuje nejrychlejÜφ mo₧nΘ rozÜφ°enφ viru v operaΦnφm systΘmu a dostupnΘm okolφ, co₧ vÜak nutn∞ vede k jeho brzkΘmu odhalenφ. Pomal² infektor se sna₧φ v rozumnΘ mφ°e najφt kompromis mezi rychlostφ rozÜφ°enφ a dobou odhalenφ. Velice pomal² obΦasn² infektor je nejnenßpadn∞jÜφ, a tedy nejnebezpeΦn∞jÜφ variantou poΦφtaΦovΘho viru.

Okam₧iky infikace souborov²m virem se de-facto odvφjejφ od pot°eby viru znßt jmΘno programu pro jeho napadnutφ:

Klidov² stav

Okam₧ik infikace charakteristick² pro nerezidentnφ viry. Napaden² program je vybrßn pou₧itφm slu₧eb volßnφ DOSu 4eh - "Najdi prvnφ soubor" resp. 4fh - "Najdi dalÜφ soubor". P°i volßnφ t∞chto slu₧eb virus definuje masku soubor∙, kterΘ chce infikovat. NejΦast∞ji se pochopiteln∞ jednß o masky "*.COM" a "*.EXE", specifikujφcφ hlavnφ varianty spustiteln²ch soubor∙.
Zajφmav² je pro n∞kterΘ viry i v²Üe uveden² okam₧ik volßnφ slu₧eb 11h - "Najdi prvnφ soubor p°es FCB" a 12h - "Najdi dalÜφ soubor p°es FCB". Jednß se o starÜφ slu₧by volßnφ DOSu, kterΘ pou₧φvß nap°. p°φkazov² interpret COMMAND.COM p°i interpretaci p°φkazu dir. Vzhledem k ΦastΘmu pou₧itφ p°φkazu dir je tento mechanismus u₧φvßn velice rychl²mi infektory. P°edstavitelem je nap°. virus Little Red.
Je pot°eba si uv∞domit, ₧e uveden² popis je pouze popisem infikace programu virem, kter² je ji₧ aktivnφ v pam∞ti. Jednß se tedy o replikaci viru; v ₧ßdnΘm p°φpad∞ se nejednß o mo₧nost aktivace viru pou₧itφm p°φkazu dir na adresß°, ve kterΘm se eventußln∞ zavirovan² program nachßzφ. Tato nereßlnß mo₧nost b²vß Φast²m m²tem i v souvislosti s bootovacφmi viry, kdy se nezasv∞cenφ lidΘ myln∞ domnφvajφ, ₧e bootovacφ virus m∙₧e napadnout poΦφtaΦ ji₧ v okam₧iku p°epnutφ na zavirovanou disketu.

SpuÜt∞nφ programu

Typick² okam₧ik infikace v∞tÜiny souborov²ch vir∙. Rezidentnφ virus hlφdß volßnφ DOSu slu₧bou 4bh - "EXEC - Prove∩ nebo nahrej program", kdy p°φmo zφskß jmΘno spouÜt∞nΘho programu pro zavirovßnφ.

Otev°enφ Φi vytvo°enφ programu

Obdobnß situace jako v p°φpad∞ spuÜt∞nφ programu s jedin²m rozdφlem, ₧e v tomto p°φpad∞ virus monitoruje slu₧bu 3dh - "Otev°i soubor". Jeliko₧ u tΘto slu₧by virus nevφ, jak² soubor je otevφrßn, musφ nejprve otestovat, zdali jmΘno otevφranΘho souboru obsahuje spustitelnou p°φponu. Synonymnφ je v podstat∞ i slu₧ba 3ch - "Vytvo° soubor".

UkonΦenφ programu

Okrajovß mo₧nost infikace zejmΘna COM program∙ prost°ednictvφm p°eruÜenφ int 20h. P°i vyvolßnφ tohoto p°eruÜenφ platφ pro COM soubory, ₧e segmentovß hodnota CS=PSP (Program Segment Prefix). Tφm mß virus mo₧nost zjistit adresu segmentu datovΘ oblasti prost°edφ DOSu (DOS Environment) a odtud jmΘno ukonΦovanΘho programu.

P°φstup na disketu nechrßn∞nou proti zßpisu

Okam₧ik infikace v²hradn∞ bootovacφch vir∙. Virus obsluhuje p°eruÜenφ diskov²ch vstupnφch / v²stupnφch operacφ (int 13h) a kontroluje po₧adavky na prßci s disketou. Pro vylouΦenφ mo₧nosti p°φpadnΘho prozrazenφ testujφ bootovacφ viry, zda jeÜt∞ b∞₧φ motor disketovΘ jednotky. Pokud ji₧ motor neb∞₧φ, virus se dßle nesna₧φ o zavirovßnφ vlo₧enΘ diskety, nebo¥ pak by se musel motor znovu rozb∞hnout, co₧ by mohlo b²t u₧ivateli, vzhledem k indikaci LED diodou, nßpadnΘ.
Nßsleduje ukßzka vybranß z viru Aragon. ┌daj na adrese 0000:043f poskytuje informaci, kterΘ motory diskov²ch jednotek jsou v b∞hu. Nult² bit reprezentuje mechaniku A:, prvnφ bit mechaniku B: atd.

xor	ax, ax			; vynulovani registru AX
mov	ds, ax			; DS=0, systemovy datovy segment
test	byte ptr ds:[43fh], 01	; bezi motor mechaniky A: ?
jz 	nebezi			; pokus o infikaci nebude