Kas ir pievienošanas vīruss?

Pievienotais vīruss vai pievienojošs vīruss ir vīrusa veids, kas neiznīcina programmu vai failu, kurā tas ir iesaiņots, bet vienkārši pārveido to pietiekami, lai saturētu vīrusu un ļautu tam turpināt izplatīties/izpildīt. Šāda veida vīrusu ir grūtāk noteikt nekā tādu, kas neatgriezeniski iznīcina programmu vai failu, kuram tas ir pievienots.

Kā tas darbojas?

Append vīrusi ir nedaudz sarežģīti, kad runa ir par to, ko tie dara – pirmkārt, tas atrod failu jebkurā datorā un nodrošina, ka tam ir precīzs faila lielums. Pēc tam tiek izveidots momentuzņēmums par to, kā fails izskatījās pirms inficēšanās, un tiek saglabāts vēlākam laikam. Nākamais solis ir pārbaudīt, vai fails jau ir inficēts. Pievienotais vīruss var pārbaudīt tikai pats par sevi — ja fails jau ir inficēts ar cita veida vīrusiem, process var neizdoties vai tikt ietekmēts.

Pārliecinoties, ka izvēlētajā failā jau nav pievienotā vīrusa kopijas, vīruss kopē sevi līdz programmas faila beigām. Tas padarīs failu nedaudz lielāku nekā iepriekš, un teorētiski tas būs pamanāms. Šajā brīdī vīruss atjauno veiktā momentuzņēmuma atribūtus, lai slēptu, ka fails ir modificēts.

Inficētie faili parasti ir izpildāmi faili, piemēram, .bat vai .exe faili, taču ne vienmēr. Inficēšanas procesa pēdējā posmā pievienojošais vīruss novirzīs faila ievades punktu – tātad, kad fails tiek atvērts, nevis palaists no augšas, vīruss liek tam vispirms izpildīt sevi. Tādā veidā vīruss tiek izpildīts fonā katru reizi, kad tiek piekļūts failam.

Lietotājam, iespējams, pat nav pamanāmas atšķirības, jo pārējais fails joprojām var darboties normāli. Precīzs vīrusa kaitējuma un ietekmes veids (izņemot paša kopēšanu) ir atkarīgs no tā radītāja nodoma. Vīrusi var īstenot visu veidu ļaunprātīgus mērķus, un pievienot vīrusus var izmantot arī daudzām dažādām lietām.

Vīrusa noķeršana

Tā kā šāda veida vīruss ir slēpts, pretvīrusu programmatūrai bieži ir grūtības tos atrast. Pareizi labi uzrakstīts append vīruss šifrēs sevi un paslēpsies. Pats vīruss parasti nav tas, ko pretvīrusu programmatūra pat meklēs — katra vīrusa kopija katrā failā, ko tas inficē, izskatīsies nedaudz savādāk, tāpēc noteikšanas programma nevar to vienkārši meklēt tā, kā to darītu cita veida vīrusi.

Tā vietā pretvīrusu programmai ir jāmeklē viena lieta, kas ir identiska visās vīrusa kopijās. Tas ir atšifrēšanas modulis. Lai šifrētu sevi no faila uz failu, vīrusam arī jāspēj sevi atšifrēt. Šī tā daļa paliek nemainīga pat visos failos un vienmēr izskatīsies vienādi. Tātad atklāšanas programmas meklē šo daļu, un tas padara vīrusu atrašanu tik sarežģītu.

Jo vairāk failu ir inficēts, jo lielāka iespēja, ka programma tos atklās. Tas nozīmē, ka agrīnas infekcijas ir grūtāk atrast un novērst, īpaši labi uzrakstītiem un jauniem vīrusiem. Jo ilgāk vīruss ir apritē, jo vieglāk un ātrāk pretvīrusu programmas to var atrast. Tas, protams, attiecas uz jebkuru vīrusu, taču tas ir īpaši svarīgi vīrusu pievienošanai.

Pievienotā vīrusa noņemšana

Tā kā vīruss sevi kopē vairākos failos, katrs fails ir jālabo, lai pilnībā atbrīvotos no infekcijas. Ja tiek palaists garām kaut viens fails, vīruss var atgriezties un atkārtoti inficēt failus. Kad infekcija ir atrasta, pat ja tā nav pilnībā noņemta, to, visticamāk, būs vieglāk atklāt otrreiz, taču joprojām ir svarīgi atbrīvoties no visiem inficētajiem failiem.

Inficētu programmu gadījumā visvieglāk tās var atinstalēt un pilnībā pārinstalēt. Tas nodrošina, ka jūs atkal sākat ar "tīru" failu kopiju. Tomēr ir iespējams instalēt programmas, kas jau ir inficētas. Tas ir īpaši apdraudēts pirātisku programmu vai neoficiālu avotu gadījumā. Turklāt regulāra pretvīrusu apkope ir labs veids, kā novērst un identificēt šāda veida infekcijas. Tāpat ir svarīgi pārliecināties, vai izmantotā pretvīrusu programma ir atjaunināta. Jums būs nepieciešama arī jaunākā pieejamā zināmo vīrusu parakstu versija. Tas palīdz identificēt nesen atklātos vīrusus, tostarp šāda veida parakstu piemērus.

Piezīme. Ja joprojām vēlaties pirātizēt lietas, ir viena veida programmatūra, kuru nekad nevajadzētu pirātizēt pretvīrusu programmatūru. Būtībā visas pretvīrusu programmatūras pirātiskās versijas ir ne tikai bezjēdzīgas, bet arī aktīvi ir ļaunprātīga programmatūra. Ja nevēlaties maksāt par pretvīrusu programmatūru, tā vietā ir jāizmanto likumīgas bezmaksas versijas.

Secinājums

Append vīrusi savu nosaukumu ieguvuši no tā, kā tie inficē failus. Viņi pievieno sevi faila beigām un pēc tam pielāgo faila darbību, lai vīruss tiktu izsaukts pirmais. Tāpat kā vairums vīrusu, arī mūsdienu pievienojumvīrusi izmanto šifrēšanu, lai paslēptos no uz parakstiem balstīta antivīrusa. Tādējādi heiristiskā noteikšana un atšifrēšanas funkcijas noteikšana ir vīrusa atrašanas metodes. Kā vīruss, kas inficē citus failus, ar pievienošanas vīrusiem var būt grūti tikt galā. Viens nokavēts inficēts fails var izraisīt pilnīgu sistēmas atkārtotu inficēšanos.