Що таке вірус Append?

Вірус додавання або вірус додавання — це тип вірусу, який не знищує програму чи файл, у який він загорнутий, а просто змінює його настільки, щоб утримувати вірус і дозволяти йому продовжувати поширюватися/виконуватися. Цей тип вірусу важче виявити, ніж той, який назавжди знищує програму чи файл, до якого він прикріплений.

Як це працює?

Віруси додавання дещо складніші, коли справа доходить до того, що вони роблять. По-перше, вони знаходять файл на будь-якій машині, на якій він знаходиться, і переконуються, що він має точний розмір файлу. Потім робиться знімок того, як файл виглядав до зараження, і зберігається для подальшого використання. Наступний крок — перевірити, чи файл уже заражений. Вірус додавання може перевірити себе лише тоді, коли справа доходить до цього – якщо файл вже заражений іншим типом вірусу, процес може трапитися збій або на нього вплинути.

Переконавшись, що у вибраному файлі ще немає копії доданого вірусу, вірус копіюється в самий кінець програмного файлу. Це зробить файл трохи більшим, ніж раніше, і, теоретично, це буде помітно. У цей момент вірус відновлює атрибути зробленого ним знімка, щоб приховати, що файл було змінено.

Інфіковані файли зазвичай є виконуваними файлами, наприклад файлами .bat або .exe, хоча не завжди. На останньому етапі процесу зараження вірус, який додає, перенаправляє точку входу файлу – тому, коли файл відкривається, а не запускається зверху, вірус змушує його виконуватися спочатку. Таким чином, вірус запускається у фоновому режимі кожного разу, коли здійснюється доступ до файлу.

Для користувача може навіть не бути помітної різниці, оскільки решта файлу може працювати нормально. Точний вид шкоди та наслідків вірусу (крім самого копіювання) залежить від наміру творця. Віруси можуть досягати будь-яких зловмисних цілей, і віруси додавання також можуть використовуватися для багатьох різних речей.

Підхопити вірус

Через прихований характер цього типу вірусів антивірусне програмне забезпечення часто не може знайти їх. Правильно добре написаний вірус додавання зашифрується та сховається. Зазвичай антивірусне програмне забезпечення взагалі не шукає сам вірус – кожна копія вірусу в кожному файлі, який він заражає, виглядатиме дещо по-іншому, тому програма виявлення не може просто шукати його так, як це робила б із інші види вірусів.

Натомість антивірусна програма має шукати єдину річ, яка є ідентичною в усіх копіях вірусу. Це модуль дешифрування. Для того, щоб шифрувати себе від файлу до файлу, вірус також повинен мати можливість розшифрувати себе. Ця частина залишається незмінною навіть у файлах і завжди виглядатиме однаково. Отже, це та частина, яку шукають програми виявлення, і саме вона ускладнює пошук вірусів.

Чим більше файлів заражено, тим вище шанси бути виявленими програмою. Це означає, що ранні зараження важче знайти та виправити, особливо добре написані та нові віруси. Чим довше вірус поширюється, тим легше та швидше антивірусні програми можуть його знайти. Звичайно, це стосується будь-якого вірусу, але це особливо актуально для додавання вірусів.

Видалення вірусу додавання

Оскільки вірус копіюється в кілька файлів, кожен файл потрібно відновити, щоб повністю позбутися інфекції. Якщо хоча б один файл буде пропущено, вірус може повернутися й знову заразити файли. Після виявлення зараження, навіть якщо його не було повністю видалено, його буде легше виявити вдруге, але все одно важливо позбутися всіх заражених файлів.

У випадку інфікованих програм найпростіше видалити та повністю перевстановити їх. Це гарантує, що ви знову почнете з «чистої» копії файлів. Однак можна інсталювати програми, які вже заражені. Це особливо небезпечно у випадку піратських програм або програм із неофіційних джерел. Крім того, регулярне технічне обслуговування антивірусної програми є хорошим способом запобігання та виявлення інфекцій цього типу. Так само важливо переконатися, що будь-яка антивірусна програма, яку ви використовуєте, є актуальною. Вам також знадобиться найновіша доступна версія відомих вірусних сигнатур. Це допомагає ідентифікувати нещодавно виявлені віруси, включаючи приклади сигнатур цього типу.

Примітка: якщо ви все ще віддаєте перевагу піратству, є один тип програмного забезпечення, яке ніколи не слід піратити. По суті, усі піратські версії антивірусного програмного забезпечення не тільки марні, але й є шкідливими програмами. Якщо ви не хочете платити за антивірусне програмне забезпечення, є законні безкоштовні версії, які вам слід використовувати.

Висновок

Додані віруси отримали свою назву від того, як вони заражають файли. Вони додаються в кінець файлу, а потім налаштовують роботу файлу так, щоб вірус викликався першим. Як і більшість вірусів, сучасні віруси додавання використовують шифрування, щоб приховатися від антивіруса на основі сигнатур. Це залишає евристичне виявлення та виявлення функції дешифрування як методи пошуку вірусу. Як вірус, який заражає інші файли, з вірусами додавання може бути важко боротися. Один пропущений заражений файл може призвести до повного повторного зараження системи.