Append Virus или Appending Virus е вид вирус, който не унищожава програмата или файла, който е обвит, но просто го модифицира достатъчно, за да съдържа вируса и да го остави да продължи разпространение/изпълнение. Този тип вирус е по-труден за откриване от този, който унищожава завинаги програмата или файла, към който е прикачен.
Как работи?
Вирусите с добавяне са малко сложни, когато става въпрос за това, което правят – първо, той намира файл на каквато и машина да е и се уверява, че има точния размер на файла. След това прави моментна снимка на това как е изглеждал файлът преди заразяването и го запазва за по-късно. Следващата стъпка е да проверите дали файлът вече е заразен. Вирусът за добавяне може да проверява само за себе си, когато се стигне до това – ако даден файл вече е заразен от друг вид вирус, процесът може да се провали или да бъде засегнат.
След като се уверите, че избраният файл вече няма копие на добавящия вирус в него, вирусът се копира в самия край на програмния файл. Това ще направи файла малко по-голям от преди и на теория би бил забележим. В този момент вирусът възстановява атрибутите от снимката, която е направил, за да скрие, че файлът е бил модифициран.
Заразените файлове обикновено са изпълними файлове като .bat или .exe файлове, но не винаги. Като последна стъпка от процеса на заразяване, добавящият вирус ще пренасочи входната точка на файла – така че когато файлът се отвори, вместо да се стартира отгоре, вирусът го кара да се изпълни сам първи. По този начин вирусът се изпълнява във фонов режим всеки път, когато има достъп до файла.
За потребителя може дори да няма забележима разлика, тъй като останалата част от файла все още може да функционира нормално. Точният вид вреда и ефект, който вирусът има (освен самото копиране), зависи от намерението на създателя. Вирусите могат да постигат всякакви злонамерени цели – и добавящите вируси също могат да се използват за много различни неща.
Хващане на вируса
Поради скрития характер на този тип вируси, антивирусният софтуер често има проблеми с намирането им. Правилно добре написаният append вирус ще се криптира и ще се скрие. Самият вирус обикновено не е това, което антивирусният софтуер дори ще търси – всяко копие на вируса във всеки файл, който той заразява ще изглежда малко по-различно, така че програмата за откриване не може просто да го търси по начина, по който би го направила с други типове вируси.
Вместо това антивирусната програма трябва да търси едно нещо, което е идентично във всички копия на вируса. Това е дешифриращият модул. За да се шифрова от файл във файл, вирусът също трябва да може да се дешифрира. Тази част от него остава непроменена дори във файловете и винаги ще изглежда по същия начин. И така, това е тази част, която програмите за откриване търсят и това прави намирането на вирусите толкова трудно.
Колкото повече файлове са заразени, толкова по-големи са шансовете да бъдат открити от програмата. Това означава, че ранните инфекции са по-трудни за намиране и коригиране, особено за добре написани и нови вируси. Колкото по-дълго вирусът е бил в обращение, толкова по-лесно и по-бързо антивирусните програми могат да го открият. Това е вярно за всеки вирус, разбира се, но е особено подходящо за добавяне на вируси.
Премахване на приложен вирус
Тъй като вирусът се копира в множество файлове, всеки файл трябва да бъде поправен, за да се отървете напълно от инфекцията. Ако дори един файл бъде пропуснат, вирусът може да се върне и да зарази повторно файловете отново. След като инфекцията бъде открита, дори и да не е премахната напълно, вероятно ще бъде по-лесно да се открие втори път, но все пак е важно да се отървете от всички заразени файлове.
В случай на заразени програми, може да бъде най-лесно да ги деинсталирате и преинсталирате напълно. Това гарантира, че ще започнете отново с „чисто“ копие на файловете. Възможно е обаче да инсталирате програми, които вече са заразени. Това е особено риск в случай на пиратски програми или такива от неофициални източници. Освен това поддържането на редовна антивирусна поддръжка е добър начин за предотвратяване и идентифициране на инфекции от този тип. По същия начин е важно да се уверите, че каквато и антивирусна програма да използвате, е актуална. Вие също ще искате най-новата налична версия на известни вирусни подписи. Това помага за идентифицирането на наскоро открити вируси – включително примерни сигнатури от този тип.
Забележка: Ако все пак предпочитате да пиратствате неща, има един тип софтуер, който никога не трябва да пиратствате с антивирусен софтуер. По същество всички пиратски версии на антивирусен софтуер са не само безполезни, но и активно злонамерен софтуер. Ако не искате да плащате за антивирусен софтуер, има законни безплатни версии, които трябва да използвате вместо това.
Заключение
Добавящите вируси вземат името си от начина, по който заразяват файловете. Те се добавят към края на файла и след това коригират начина на изпълнение на файла, така че вирусът да бъде извикан първи. Подобно на повечето вируси, модерните добавящи вируси използват криптиране, за да се скрият от базираната на сигнатура антивирусна програма. Това оставя евристичното откриване и откриването на функцията за дешифриране като методи за намиране на вируса. Като вирус, който заразява други файлове, може да е трудно да се справите с добавящите вируси. Един единствен пропуснат заразен файл може да доведе до пълно повторно заразяване на системата.