Lisaviirus või lisav viirus on teatud tüüpi viirus, mis ei hävita programmi ega faili, mida see on sisse pakitud, kuid lihtsalt muudab seda piisavalt, et viirust sisaldada ja lasta sellel jätkata levitada/täita. Seda tüüpi viirust on raskem tuvastada kui viirust, mis hävitab jäädavalt programmi või faili, millele see on lisatud.
Kuidas see töötab?
Append viirused on nende toimimise osas mõnevõrra keerulised – esiteks otsib see faili mis tahes masinas, milles see on, ja veendub, et sellel on faili täpne failisuurus. Seejärel teeb see pildi sellest, milline nägi fail välja enne nakatumist, ja säilitab selle hilisemaks kasutamiseks. Järgmine samm on kontrollida, kas fail on juba nakatunud. Lisaviirus saab seda kontrollida ainult ise – kui fail on juba teist tüüpi viirusega nakatunud, võib protsess ebaõnnestuda või seda mõjutada.
Kui olete veendunud, et valitud failis pole juba lisatud viiruse koopiat, kopeerib viirus end programmifaili päris lõppu. See muudab faili varasemast pisut suuremaks ja oleks teoreetiliselt märgatav. Sel hetkel taastab viirus tehtud hetktõmmise atribuudid, et varjata, et faili on muudetud.
Nakatunud failid on tavaliselt käivitatavad failid, näiteks .bat- või .exe-failid, kuigi mitte alati. Nakatumisprotsessi viimase sammuna suunab lisav viirus faili sisenemispunkti ümber – nii et kui fail avatakse, mitte ülalt, paneb viirus selle ise käivitama esiteks. Nii käivitatakse viirus taustal iga kord, kui failile ligi pääsetakse.
Kasutaja jaoks ei pruugi sellel isegi märgatavat erinevust olla, kuna ülejäänud fail võib endiselt normaalselt töötada. Viiruse täpne kahju ja mõju (peale enda kopeerimise) sõltub looja kavatsustest. Viirused võivad täita kõikvõimalikke pahatahtlikke eesmärke – ja lisaviiruseid saab kasutada ka paljude erinevate asjade jaoks.
Viiruse püüdmine
Seda tüüpi viiruste varjatud olemuse tõttu on viirusetõrjetarkvaral sageli probleeme nende leidmisega. Õigesti kirjutatud lisaviirus krüpteerib ennast ja peidab end. Viirus ise ei ole tavaliselt see, mida viirusetõrjetarkvara otsib – iga viiruse koopia igas failis, mida see otsib nakatab veidi teistsugune välja, nii et tuvastusprogramm ei saa seda lihtsalt otsida nii, nagu ta teeks seda muud tüüpi viirused.
Selle asemel peab viirusetõrjeprogramm otsima ühte asja, mis on kõigis viiruse koopiates identne. See on dekrüpteerimismoodul. Et ennast failist faili krüpteerida, peab viirus saama ka end lahti krüpteerida. See osa sellest jääb muutumatuks isegi kõigis failides ja näeb alati sama välja. Niisiis, see on see osa, mida tuvastusprogrammid otsivad, ja see muudab viiruste leidmise nii keeruliseks.
Mida rohkem faile on nakatunud, seda suurem on tõenäosus, et programm neid tuvastab. See tähendab, et varajasi infektsioone on raskem leida ja parandada, eriti hästi kirjutatud ja uute viiruste puhul. Mida kauem viirus on ringluses olnud, seda lihtsamad ja kiiremad viirusetõrjeprogrammid selle üles leiavad. See kehtib loomulikult kõigi viiruste kohta, kuid see kehtib eriti viiruste lisamise kohta.
Lisaviiruse eemaldamine
Kuna viirus kopeerib end mitmeks failiks, tuleb infektsioonist täielikult vabanemiseks parandada iga fail. Kui kasvõi üks fail jääb vahele, võib viirus tagasi tulla ja faile uuesti nakatada. Kui nakkus on leitud, isegi kui seda ei eemaldatud täielikult, on seda tõenäoliselt lihtsam teist korda avastada, kuid siiski on oluline vabaneda kõigist nakatunud failidest.
Nakatunud programmide puhul on kõige lihtsam desinstallida ja täielikult uuesti installida. See tagab, et alustate uuesti failide "puhta" koopiaga. Siiski on võimalik installida juba nakatunud programme. See on eriti ohtlik piraatprogrammide või mitteametlikest allikatest pärinevate programmide puhul. Lisaks on regulaarne viirusetõrje hooldus hea viis seda tüüpi nakkuste ennetamiseks ja tuvastamiseks. Samuti on oluline veenduda, et mis tahes teie kasutatav viirusetõrjeprogramm on ajakohane. Soovite ka teadaolevate viirusesignatuuride uusimat saadaolevat versiooni. See aitab tuvastada hiljuti avastatud viiruseid, sealhulgas seda tüüpi signatuure.
Märkus. Kui eelistate siiski asju piraatida, on ühte tüüpi tarkvara, mida te ei tohiks kunagi piraatida. Põhimõtteliselt ei ole kõik viirusetõrjetarkvara piraatversioonid mitte ainult kasutud, vaid on aktiivselt pahavara. Kui te ei soovi viirusetõrjetarkvara eest maksta, peaksite selle asemel kasutama seaduslikke tasuta versioone.
Järeldus
Append viirused võtavad oma nime selle järgi, kuidas nad faile nakatavad. Nad lisavad end faili lõppu ja kohandavad seejärel faili käitamist nii, et viirus kutsutakse esimesena. Nagu enamik viiruseid, kasutavad tänapäevased lisaviirused allkirjapõhise viirusetõrje eest peitmiseks krüptimist. See jätab viiruse leidmise meetoditeks heuristilise tuvastamise ja dekrüpteerimisfunktsiooni tuvastamise. Viirusena, mis nakatab teisi faile, võib lisaviirustega olla raske toime tulla. Üks nägemata nakatunud fail võib viia süsteemi täieliku uuesti nakatumiseni.