2015-05-18
442
Внедрение вируса в DOS СОМ- и ЕХЕ-файлы. Выполняемые двоичные файлы DOS имеют форматы СОМ или ЕХЕ, различающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла (.СОМ или.ЕХЕ) не всегда соответствует действительному формату файла, что, правда, никак не влияет на работу программы. Файлы СОМ и ЕХЕ заражаются по-разному, следовательно, вирус должен отличать файлы одного формата от другого. Вирусы решают эту задачу двумя способами: одни анализируют расширение имени файла (.СОМ,.ЕХЕ), другие — заголовок файла. Первый способ далее будет называться заражением.СОМ-файлов (или.ЕХЕ-файлов), второй — заражением СОМ-файлов (или ЕХЕ-файлов).
В большинстве случаев вирус инфицирует файл корректно, т. е. по информации, содержащейся в теле вируса, можно полностью восстановить зараженный файл. Но, как и большинство программ, они часто содержат незаметные с первого взгляда ошибки. Из-за этого даже вполне корректно написанный вирус может необратимо испортить файл при его заражении. Например, вирусы, различающие типы файлов по расширению имени (.СОМ,.ЕХЕ), очень опасны, так как портят файлы, у которых расширение имени не соответствует внутреннему формату.
Один из наиболее часто встречающихся примеров некорректного заражения файла — COMMAND.СОМ в Windows 95. Этот файл, по сути, является ЕХЕ-файлом, более того, имеет размер более 90 Кб, что невозможно для СОМ-файла. Поэтому вирусы, которые различают СОМ/ЕХЕ-файлы по расширению имени и не проверяют длины заражаемых СОМ-файлов (например, Junkie), портят такой COMMAND.СОМ, и он становится неработоспособным.
Примитивная маскировка. При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражением и восстановление после. Многие файловые вирусы считывают дату последней модификации файла и восстанавливают ее после заражения. Для маскировки своего распространения некоторые вирусы перехватывают прерывание DOS, возникающее при обращении к защищенному от записи диску (INT 24h), и самостоятельно обрабатывают его.
Скорость распространения. Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятнее возникновение эпидемии этого вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно, этот вирус пока неизвестен антивирусным программам). Понятия "быстрого" и "медленного" вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.
Нерезидентные вирусы часто являются медленными — большинство из них при запуске заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно, нерезидентные быстрые вирусы, которые при запуске ищут и заражают все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно длительное) время активно работает с винчестером, что демаскирует вирус.
Скорость резидентных вирусов обычно выше, чем у нерезидентных, — они заражают файлы при каких-либо обращениях к ним. В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.
Скорость распространения резидентных файловых вирусов, заражающих файлы только при их запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их открытии, переименовании, изменении атрибутов файла и т. д. Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть командного интерпретатора COMMAND.COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла COMMAND.COM и, если вирус заражает файлы при их открытии, его заражение. Таким образом, при запуске подобного вируса первым будет заражен файл COMMAND.COM.
