Append Virus nebo Appending Virus je typ viru, který nezničí program ani soubor, o který se jedná zabalené, ale jednoduše jej upraví natolik, aby obsahoval virus a nechal jej pokračovat šířit/provádět. Tento typ viru je obtížnější odhalit než ten, který trvale zničí program nebo soubor, ke kterému je připojen.
Jak to funguje?
Append viry jsou poněkud komplikované, pokud jde o to, co dělají – nejprve vyhledá soubor na jakémkoli počítači, na kterém se nachází, a ujistí se, že má přesnou velikost souboru. Poté pořídí snímek toho, jak soubor vypadal před infekcí, a uchová jej na později. Dalším krokem je zkontrolovat, zda je soubor již infikován. Append virus se může sám zkontrolovat, až když na to dojde – pokud je soubor již infikován jiným druhem viru, proces může selhat nebo být ovlivněn.
Poté, co se ujistíte, že vybraný soubor již nemá v sobě kopii append viru, virus se zkopíruje až na úplný konec programového souboru. Díky tomu bude soubor o něco větší než předtím a teoreticky by to bylo patrné. V tomto okamžiku virus obnoví atributy ze snímku, který pořídil, aby skryl, že soubor byl změněn.
Infikované soubory jsou obvykle spustitelné soubory, jako jsou soubory .bat nebo .exe, i když ne vždy. Jako poslední krok procesu infekce přesměruje připojený virus vstupní bod souboru – takže když je soubor otevřen, místo aby se spouštěl shora, virus jej sám spustí První. Tímto způsobem se virus spustí na pozadí při každém přístupu k souboru.
Pro uživatele to nemusí být ani znatelný rozdíl, protože zbytek souboru může stále fungovat normálně. Přesný druh poškození a účinku viru (kromě samotného kopírování) závisí na záměru tvůrce. Viry mohou provádět nejrůznější škodlivé účely – a připojit viry lze také použít k mnoha různým věcem.
Chytání viru
Kvůli skryté povaze tohoto typu viru má antivirový software často problém je najít. Správně napsaný append virus se zašifruje a skryje. Virus sám o sobě obvykle není tím, co antivirový software bude hledat – každou kopii viru v každém souboru, který obsahuje Infekce budou vypadat mírně odlišně, takže detekční program je nemůže jednoduše vyhledat tak, jak by to udělal s jinými typy viry.
Místo toho musí antivirový program hledat jednu věc, která je identická ve všech kopiích viru. To je dešifrovací modul. Aby se virus zašifroval ze souboru do souboru, musí se také umět dešifrovat. Tato jeho část zůstává nezměněna i mezi soubory a bude vždy vypadat stejně. Je to tedy ta část, kterou detekční programy hledají, a proto je hledání virů tak obtížné.
Čím více souborů je infikováno, tím vyšší je pravděpodobnost, že budou detekovány programem. To znamená, že rané infekce se obtížněji hledají a opravují, zejména u dobře napsaných a nových virů. Čím déle je virus v oběhu, tím snadněji a rychleji jej mohou antivirové programy najít. To samozřejmě platí pro jakýkoli virus, ale je to zvláště důležité pro připojení virů.
Odstranění append viru
Protože se virus zkopíruje do více souborů, každý soubor musí být opraven, aby se infekce úplně zbavil. Pokud je vynechán byť jen jeden soubor, virus se může vrátit a znovu infikovat soubory. Jakmile bude infekce nalezena, i když nebyla zcela odstraněna, bude pravděpodobně snazší ji objevit podruhé, ale stále je důležité zbavit se všech infikovaných souborů.
V případě infikovaných programů může být nejjednodušší je úplně odinstalovat a znovu nainstalovat. To zajistí, že začnete znovu s „čistou“ kopií souborů. Je však možné nainstalovat programy, které jsou již infikovány. To je riziko zejména v případě pirátských programů nebo programů z neoficiálních zdrojů. Kromě toho je pravidelná antivirová údržba dobrým způsobem prevence a identifikace infekcí tohoto typu. Podobně je důležité se ujistit, že jakýkoli antivirový program, který používáte, je aktuální. Budete také chtít nejnovější dostupnou verzi známých virových signatur. To pomáhá identifikovat nedávno objevené viry – včetně příkladů signatur tohoto typu.
Poznámka: Pokud stále dáváte přednost pirátství, existuje jeden typ softwaru, který byste nikdy neměli pirátským antivirovým softwarem. V podstatě všechny pirátské verze antivirového softwaru jsou nejen k ničemu, ale jsou aktivně malwarem. Pokud nechcete platit za antivirový software, existují legitimní bezplatné verze, které byste měli místo toho použít.
Závěr
Append viry mají svůj název podle toho, jak infikují soubory. Připojí se na konec souboru a poté upraví běh souboru tak, aby byl virus volán jako první. Stejně jako většina virů i moderní připojované viry používají šifrování, aby se skryly před antiviry založenými na signaturách. To ponechává heuristickou detekci a detekci dešifrovací funkce jako metody k nalezení viru. Jako virus, který infikuje jiné soubory, může být obtížné se s nimi vypořádat. Jediný zmeškaný infikovaný soubor může vést k úplné reinfekci systému.