En Append Virus eller Appending Virus er en type virus, der ikke ødelægger programmet eller filen, det er pakket ind, men ændrer den ganske enkelt nok til at indeholde virussen og lader den fortsætte med sprede/udføre. Denne type virus er sværere at opdage end en, der permanent ødelægger programmet eller filen, den er knyttet til.
Hvordan virker det?
Append-virus er noget kompliceret, når det kommer til, hvad de gør - for det første finder den en fil på hvilken maskine den er på, og sørger for, at den har den nøjagtige filstørrelse af filen. Det tager derefter et øjebliksbillede af, hvordan filen så ud før infektionen og gemmer den til senere. Det næste trin er at kontrollere, om filen allerede er inficeret. En append-virus kan kun tjekke for sig selv, når det kommer til det - hvis en fil tilfældigvis allerede er inficeret med en anden type virus, kan processen mislykkes eller blive påvirket.
Efter at have sikret sig, at den valgte fil ikke allerede har en kopi af den vedhæftede virus i sig, kopierer virussen sig selv til slutningen af programfilen. Dette vil gøre filen lidt større end før, og det ville i teorien være mærkbart. På dette tidspunkt gendanner virussen attributterne fra det øjebliksbillede, den tog, for at skjule, at filen er blevet ændret.
De inficerede filer er normalt eksekverbare filer såsom .bat- eller .exe-filer, dog ikke altid. Som et sidste trin i infektionsprocessen vil den vedhæftede virus omdirigere filens indgangspunkt - så når filen åbnes, i stedet for at køre fra toppen, får virussen den til at køre sig selv først. På den måde udføres virussen i baggrunden, hver gang filen tilgås.
For brugeren er der måske ikke engang en mærkbar forskel, da resten af filen stadig kan fungere normalt. Den præcise form for skade og virkning, som virussen har (ud over at kopiere sig selv) afhænger af skaberens hensigt. Virus kan opnå alle mulige ondsindede formål - og tilføj virus kan også bruges til mange forskellige ting.
Fange virussen
På grund af den skjulte karakter af denne type virus, har antivirussoftware ofte problemer med at finde dem. En korrekt velskrevet append-virus vil kryptere sig selv og gemme sig. Virussen i sig selv er normalt ikke, hvad antivirussoftwaren engang vil lede efter - hver kopi af virussen i hver fil, som den inficerer vil se lidt anderledes ud, så detektionsprogrammet kan ikke bare søge efter det, som det ville gøre med andre typer vira.
I stedet skal antivirusprogrammet lede efter den ene ting, der er identisk i alle kopier af virussen. Det er dekrypteringsmodulet. For at kryptere sig selv fra fil til fil skal virussen også være i stand til at dekryptere sig selv. Den del af det forbliver uændret selv på tværs af filer, og vil altid se ens ud. Så det er den del, som detektionsprogrammerne leder efter, og det er det, der gør det så svært at finde vira.
Jo flere filer der er inficeret, jo højere er chancerne for at blive opdaget af programmet. Det betyder, at tidlige infektioner er sværere at finde og rette, især for velskrevne og nye vira. Jo længere en virus har været i omløb, jo nemmere og hurtigere kan antivirusprogrammer finde den. Dette gælder selvfølgelig for enhver virus, men det er især relevant for tilføjelse af vira.
Fjernelse af en append virus
Da virussen kopierer sig selv ind i flere filer, skal hver fil repareres for fuldt ud at slippe af med infektionen. Hvis selv en fil savnes, kan virussen komme tilbage og geninficere filer igen. Når infektionen er blevet fundet, selvom den ikke blev fjernet helt, vil det sandsynligvis være lettere at opdage en anden gang, men det er stadig vigtigt at slippe af med alle inficerede filer.
I tilfælde af inficerede programmer kan det være nemmest at afinstallere og geninstallere dem helt. Dette sikrer, at du starter med en 'ren' kopi af filerne igen. Det er dog muligt at installere programmer, der allerede er inficeret. Dette er især en risiko i tilfælde af piratkopierede programmer eller programmer fra uofficielle kilder. Ud over det er regelmæssig vedligeholdelse af antivirus en god måde at forhindre og identificere infektioner af denne type. På samme måde er det vigtigt at sikre sig, at det antivirusprogram, du bruger, er opdateret. Du vil også have den seneste tilgængelige version af kendte virussignaturer. Dette hjælper med at identificere nyligt opdagede vira – herunder eksempelsignaturer af denne type.
Bemærk: Hvis du stadig foretrækker at piratkopiere ting, er der én type software, du aldrig bør piratkopiere antivirussoftware. I det væsentlige alle piratkopierede versioner af antivirussoftware er ikke kun ubrugelige, men er aktivt malware. Hvis du ikke vil betale for antivirussoftware, er der lovlige gratis versioner, du bør bruge i stedet.
Konklusion
Tilføj virus tager deres navn fra, hvordan de inficerer filer. De tilføjer sig selv til slutningen af filen og justerer derefter, hvordan filen kører, så virussen kaldes først. Som de fleste vira bruger moderne append-virus kryptering til at skjule sig fra signaturbaseret antivirus. Dette efterlader heuristisk påvisning og påvisning af dekrypteringsfunktionen som metoder til at finde virussen. Som en virus, der inficerer andre filer, kan tilføjede virus være svære at håndtere. En enkelt ubesvaret inficeret fil kan føre til en komplet systemgeninfektion.