Un virus d'ajout ou un virus d'ajout est un type de virus qui ne détruit pas le programme ou le fichier auquel il appartient. enveloppé, mais le modifie simplement suffisamment pour contenir le virus et le laisser continuer à diffuser/exécuter. Ce type de virus est plus difficile à détecter qu'un virus qui détruit définitivement le programme ou le fichier auquel il est attaché.
Comment ça marche?
Les virus Append sont quelque peu compliqués en ce qui concerne ce qu'ils font - d'abord, ils localisent un fichier sur n'importe quelle machine sur laquelle il se trouve et s'assurent qu'il a la taille exacte du fichier. Il prend ensuite un instantané de ce à quoi ressemblait le fichier avant l'infection et le conserve pour plus tard. L'étape suivante consiste à vérifier si le fichier est déjà infecté. Un virus d'ajout ne peut vérifier que par lui-même lorsqu'il s'agit de cela - si un fichier est déjà infecté par un autre type de virus, le processus peut échouer ou être affecté.
Après s'être assuré que le fichier choisi ne contient pas déjà une copie du virus append, le virus se copie à la toute fin du fichier programme. Cela rendra le fichier légèrement plus volumineux qu'auparavant, et cela serait, en théorie, perceptible. À ce stade, le virus restaure les attributs de l'instantané qu'il a pris, pour masquer que le fichier a été modifié.
Les fichiers infectés sont généralement des fichiers exécutables tels que des fichiers .bat ou .exe, mais pas toujours. Dans une dernière étape du processus d'infection, le virus ajouté redirigera le point d'entrée du fichier - ainsi, lorsque le fichier est ouvert, plutôt que de s'exécuter à partir du haut, le virus le fait s'exécuter lui-même d'abord. De cette façon, le virus est exécuté en arrière-plan à chaque accès au fichier.
Pour l'utilisateur, il se peut qu'il n'y ait même pas de différence notable, car le reste du fichier peut toujours fonctionner normalement. Le type précis de préjudice et d'effet que le virus a (au-delà de la copie de lui-même) dépend de l'intention du créateur. Les virus peuvent accomplir toutes sortes d'objectifs malveillants - et les virus d'ajout peuvent également être utilisés pour de nombreuses choses différentes.
Attraper le virus
En raison de la nature secrète de ce type de virus, les logiciels antivirus ont souvent du mal à les trouver. Un virus append bien écrit se chiffrera et se cachera. Le virus lui-même n'est généralement pas ce que le logiciel antivirus recherchera - chaque copie du virus dans chaque fichier qu'il infects aura un aspect légèrement différent, de sorte que le programme de détection ne peut pas simplement le rechercher comme il le ferait avec d'autres types de virus.
Au lieu de cela, le programme antivirus doit rechercher la seule chose qui est identique dans toutes les copies du virus. C'est le module de décryptage. Afin de se chiffrer d'un fichier à l'autre, le virus doit également être capable de se déchiffrer. Cette partie reste inchangée, même d'un fichier à l'autre, et aura toujours la même apparence. C'est donc cette partie que recherchent les programmes de détection, et c'est ce qui rend la détection des virus si difficile.
Plus il y a de fichiers infectés, plus les chances d'être détecté par le programme sont élevées. Cela signifie que les infections précoces sont plus difficiles à trouver et à corriger, en particulier pour les virus bien écrits et nouveaux. Plus un virus est en circulation depuis longtemps, plus les programmes antivirus peuvent le trouver facilement et rapidement. Cela est vrai pour n'importe quel virus, bien sûr, mais c'est particulièrement pertinent pour l'ajout de virus.
Suppression d'un virus d'ajout
Étant donné que le virus se copie dans plusieurs fichiers, chaque fichier doit être réparé afin de se débarrasser complètement de l'infection. Si même un seul fichier est manqué, le virus peut revenir et réinfecter à nouveau les fichiers. Une fois l'infection trouvée, même si elle n'a pas été complètement supprimée, il sera probablement plus facile de la découvrir une deuxième fois, mais il est toujours important de se débarrasser de tous les fichiers infectés.
Dans le cas de programmes infectés, il peut être plus facile de les désinstaller et de les réinstaller entièrement. Cela garantit que vous recommencez avec une copie "propre" des fichiers. Il est cependant possible d'installer des programmes déjà infectés. C'est particulièrement un risque dans le cas de programmes piratés ou ceux provenant de sources non officielles. Au-delà de cela, maintenir une maintenance antivirus régulière est un bon moyen de prévenir et d'identifier les infections de ce type. De même, il est important de s'assurer que tout programme antivirus que vous utilisez est à jour. Vous aurez également besoin de la version la plus récente disponible des signatures de virus connues. Cela permet d'identifier les virus récemment découverts, y compris des exemples de signatures de ce type.
Remarque: Si vous préférez toujours pirater des choses, il existe un type de logiciel que vous ne devriez jamais pirater. Essentiellement, toutes les versions piratées de logiciels antivirus sont non seulement inutiles, mais sont activement des logiciels malveillants. Si vous ne voulez pas payer pour un logiciel antivirus, il existe des versions gratuites légitimes que vous devriez utiliser à la place.
Conclusion
Les virus Append tirent leur nom de la façon dont ils infectent les fichiers. Ils s'ajoutent à la fin du fichier, puis ajustent la façon dont le fichier s'exécute afin que le virus soit appelé en premier. Comme la plupart des virus, les virus ajoutés modernes utilisent le cryptage pour se cacher des antivirus basés sur les signatures. Cela laisse la détection heuristique et la détection de la fonction de décryptage comme méthodes pour trouver le virus. En tant que virus qui infecte d'autres fichiers, les virus d'ajout peuvent être difficiles à gérer. Un seul fichier infecté manqué peut entraîner une réinfection complète du système.