Mis on lisaviirus?

Lisaviirus või lisav viirus on teatud tüüpi viirus, mis ei hävita programmi või faili, millesse see on pakitud, vaid lihtsalt muudab seda piisavalt, et viirus sisaldaks ja laseb sellel levida/käivitada. Seda tüüpi viirust on raskem tuvastada kui viirust, mis hävitab jäädavalt programmi või faili, millele see on lisatud.

Kuidas see töötab?

Append viirused on oma tegevuse osas mõnevõrra keerulised – esiteks otsib see faili üles mis tahes masinas ja veendub, et sellel on faili täpne failisuurus. Seejärel teeb see pildi sellest, milline nägi fail välja enne nakatumist, ja säilitab selle hilisemaks kasutamiseks. Järgmine samm on kontrollida, kas fail on juba nakatunud. Lisaviirus saab seda kontrollida ainult ise – kui fail on juba teist tüüpi viirusega nakatunud, võib protsess ebaõnnestuda või seda mõjutada.

Kui olete veendunud, et valitud failis pole juba lisatud viiruse koopiat, kopeerib viirus end programmifaili päris lõppu. See muudab faili varasemast pisut suuremaks ja oleks teoreetiliselt märgatav. Sel hetkel taastab viirus tehtud hetktõmmise atribuudid, et varjata, et faili on muudetud.

Nakatunud failid on tavaliselt käivitatavad failid, näiteks .bat- või .exe-failid, kuigi mitte alati. Nakatumisprotsessi viimase sammuna suunab lisav viirus faili sisenemispunkti ümber – nii et faili avamisel, mitte ülevalt käivitamisel, paneb viirus selle kõigepealt ise käivitama. Nii käivitatakse viirus taustal iga kord, kui failile ligi pääsetakse.

Kasutaja jaoks ei pruugi sellel isegi märgatavat erinevust olla, kuna ülejäänud fail võib endiselt normaalselt töötada. Viiruse täpne kahju ja mõju (peale enda kopeerimise) sõltub looja kavatsustest. Viirused võivad täita kõikvõimalikke pahatahtlikke eesmärke – ja lisaviiruseid saab kasutada ka paljude erinevate asjade jaoks.

Viiruse püüdmine

Seda tüüpi viiruste varjatud olemuse tõttu on viirusetõrjetarkvaral sageli probleeme nende leidmisega. Õigesti kirjutatud lisaviirus krüpteerib ennast ja peidab end. Viirus ise ei ole tavaliselt see, mida viirusetõrjetarkvara otsib – iga viiruse koopia igas failis, mida see nakatab, näeb välja veidi erinev, nii et tuvastusprogramm ei saa seda lihtsalt otsida nii, nagu ta seda teeks muud tüüpi viirused.

Selle asemel peab viirusetõrjeprogramm otsima ühte asja, mis on kõigis viiruse koopiates identne. See on dekrüpteerimismoodul. Et ennast failist faili krüpteerida, peab viirus saama ka end lahti krüpteerida. See osa sellest jääb muutumatuks isegi kõigis failides ja näeb alati sama välja. Seega otsivad tuvastusprogrammid just seda osa ja see teebki viiruste leidmise nii keeruliseks.

Mida rohkem faile on nakatunud, seda suurem on tõenäosus, et programm neid tuvastab. See tähendab, et varajasi infektsioone on raskem leida ja parandada, eriti hästi kirjutatud ja uute viiruste puhul. Mida kauem viirus on ringluses olnud, seda lihtsamad ja kiiremad viirusetõrjeprogrammid selle üles leiavad. See kehtib loomulikult kõigi viiruste kohta, kuid see on eriti oluline viiruste lisamise puhul.

Lisaviiruse eemaldamine

Kuna viirus kopeerib end mitmeks failiks, tuleb infektsioonist täielikult vabanemiseks parandada iga fail. Kui kasvõi üks fail jääb vahele, võib viirus tagasi tulla ja faile uuesti nakatada. Kui nakkus on leitud, isegi kui seda ei eemaldatud täielikult, on seda tõenäoliselt teist korda lihtsam avastada, kuid siiski on oluline vabaneda kõigist nakatunud failidest.

Nakatunud programmide puhul on kõige lihtsam desinstallida ja täielikult uuesti installida. See tagab, et alustate uuesti failide "puhta" koopiaga. Siiski on võimalik installida juba nakatunud programme. See on eriti ohtlik piraatprogrammide või mitteametlikest allikatest pärinevate programmide puhul. Lisaks on regulaarne viirusetõrje hooldus hea viis seda tüüpi nakkuste ennetamiseks ja tuvastamiseks. Samuti on oluline veenduda, et iga kasutatav viirusetõrjeprogramm oleks ajakohane. Soovite ka teadaolevate viirusesignatuuride uusimat saadaolevat versiooni. See aitab tuvastada hiljuti avastatud viiruseid, sealhulgas seda tüüpi signatuure.

Märkus. Kui eelistate siiski asju piraatida, on ühte tüüpi tarkvara, mida te ei tohiks kunagi piraatida. Põhimõtteliselt ei ole kõik viirusetõrjetarkvara piraatversioonid mitte ainult kasutud, vaid on aktiivselt pahavara. Kui te ei soovi viirusetõrjetarkvara eest maksta, peaksite selle asemel kasutama seaduslikke tasuta versioone.

Järeldus

Append viirused võtavad oma nime selle järgi, kuidas nad faile nakatavad. Nad lisavad end faili lõppu ja kohandavad seejärel faili käitamist nii, et viirus kutsutakse esimesena. Nagu enamik viiruseid, kasutavad tänapäevased lisaviirused allkirjapõhise viirusetõrje eest peitmiseks krüptimist. See jätab viiruse leidmise meetoditeks heuristilise tuvastamise ja dekrüpteerimisfunktsiooni tuvastamise. Viirusena, mis nakatab teisi faile, võib lisaviirustega olla raske toime tulla. Üks nägemata nakatunud fail võib viia süsteemi täieliku uuesti nakatumiseni.