Mi az a hozzáfűzött vírus?

Az Append Virus vagy az Appending Virus egy olyan vírustípus, amely nem pusztítja el az adott programot vagy fájlt be van csomagolva, de egyszerűen annyit módosít, hogy a vírust tartalmazza, és hagyja, hogy tovább terjedjen terjeszteni/végrehajtani. Ezt a vírustípust nehezebb észlelni, mint azt, amely végleg tönkreteszi a hozzá csatolt programot vagy fájlt.

Hogyan működik?

Az Append vírusok kissé bonyolultak, ha arról van szó, hogy mit csinálnak – először is megkeresi a fájlt bármely gépen, amelyen van, és megbizonyosodik arról, hogy a fájl mérete pontosan megegyezik a fájl méretével. Ezután pillanatképet készít arról, hogyan nézett ki a fájl a fertőzés előtt, és megőrzi későbbre. A következő lépés annak ellenőrzése, hogy a fájl fertőzött-e már. A hozzáfűzött vírus csak önmagát tudja ellenőrizni, ha erről van szó – ha egy fájl történetesen másfajta vírussal fertőzött, a folyamat meghiúsulhat vagy hatással lehet rá.

Miután megbizonyosodtunk arról, hogy a kiválasztott fájlban nincs már az append vírus másolata, a vírus a programfájl legvégére másolja magát. Ettől a fájl kissé nagyobb lesz, mint korábban, és elméletileg észrevehető lesz. Ezen a ponton a vírus visszaállítja az attribútumokat a pillanatfelvételből, hogy elrejtse, hogy a fájl módosult.

A fertőzött fájlok általában végrehajtható fájlok, például .bat vagy .exe fájlok, bár nem mindig. A fertőzési folyamat utolsó lépéseként a hozzáfűződő vírus átirányítja a fájl belépési pontját – így amikor a fájlt megnyitják, ahelyett, hogy felülről futna, a vírus saját magát hajtja végre első. Így a vírus a háttérben fut le minden alkalommal, amikor a fájlhoz hozzáférnek.

A felhasználó számára talán nem is lesz észrevehető különbség, mivel a fájl többi része továbbra is normálisan működik. A vírus által okozott károk és hatások pontos fajtája (a másoláson túl) az alkotó szándékától függ. A vírusok mindenféle rosszindulatú célt megvalósíthatnak – és a hozzáfűzött vírusok sok különböző dologra is felhasználhatók.

A vírus elkapása

Az ilyen típusú vírusok rejtett természete miatt a víruskereső szoftverek gyakran nehezen találják meg őket. Egy megfelelően jól megírt append vírus titkosítja magát és elrejti magát. Maga a vírus általában nem is az, amit a víruskereső szoftver keresni fog – a vírus minden példánya minden fájlban, amelyre ráfér a fertőzések kissé másképp fognak kinézni, így az észlelőprogram nem tud egyszerűen rákeresni, ahogyan más típusú vírusok.

Ehelyett a víruskereső programnak meg kell keresnie azt az egyetlen dolgot, amely a vírus összes példányán belül azonos. Ez a dekódoló modul. Ahhoz, hogy fájlról fájlra titkosítsa magát, a vírusnak képesnek kell lennie arra is, hogy visszafejtse magát. Ez a része változatlan marad még a fájlok között is, és mindig ugyanúgy fog kinézni. Tehát ezt a részt keresik az észlelő programok, és ez az, ami annyira megnehezíti a vírusok megtalálását.

Minél több fájl fertőzött, annál nagyobb az esélye annak, hogy a program észleli. Ez azt jelenti, hogy a korai fertőzéseket nehezebb megtalálni és kijavítani, különösen a jól megírt és új vírusok esetében. Minél hosszabb ideje van egy vírus forgalomban, a vírusirtó programok annál könnyebben és gyorsabban találják meg. Ez természetesen minden vírusra igaz, de különösen fontos a hozzáfűzött vírusok esetében.

Egy hozzáfűzött vírus eltávolítása

Mivel a vírus több fájlba másolja magát, minden fájlt meg kell javítani, hogy teljesen megszabaduljon a fertőzéstől. Ha akár csak egy fájl is kimarad, a vírus visszatérhet, és újra megfertőzheti a fájlokat. Ha a fertőzést megtalálták, még ha nem is távolították el teljesen, valószínűleg másodszor is könnyebb lesz felfedezni, de továbbra is fontos, hogy megszabaduljon az összes fertőzött fájltól.

Fertőzött programok esetén a legegyszerűbb eltávolítani és teljesen újratelepíteni őket. Ez biztosítja, hogy újra a fájlok „tiszta” másolatával kezdje. Lehetőség van azonban már fertőzött programok telepítésére. Ez különösen a kalózprogramok vagy a nem hivatalos forrásokból származó programok esetében jelent kockázatot. Ezen túlmenően a vírusirtó rendszeres karbantartása jó módszer az ilyen típusú fertőzések megelőzésére és azonosítására. Hasonlóképpen fontos megbizonyosodni arról, hogy a használt vírusirtó programok naprakészek legyenek. Szüksége lesz az ismert vírusszignatúrák legfrissebb elérhető verziójára is. Ez segít azonosítani a közelmúltban felfedezett vírusokat – beleértve az ilyen típusú aláírásokat is.

Megjegyzés: Ha továbbra is jobban szeret kalózkodni, van egy olyan szoftvertípus, amelyet soha nem szabad kalózkodni a víruskereső szoftverekkel. Lényegében a víruskereső szoftverek összes kalóz verziója nemcsak haszontalan, hanem aktívan rosszindulatú program is. Ha nem szeretne fizetni a víruskereső szoftverekért, vannak legitim ingyenes verziók, amelyeket érdemes használni.

Következtetés

Az Append vírusok nevüket onnan kapják, ahogyan megfertőzik a fájlokat. Hozzáfűzik magukat a fájl végéhez, majd beállítják a fájl futását úgy, hogy először a vírust hívják meg. A legtöbb vírushoz hasonlóan a modern append vírusok is titkosítást használnak, hogy elrejtőzzenek az aláírás-alapú vírusirtó elől. Így a heurisztikus észlelés és a visszafejtő funkció észlelése marad a vírus megtalálásának módszere. Más fájlokat megfertőző vírusként a hozzáfűzött vírusokat nehéz lehet kezelni. Egyetlen kihagyott fertőzött fájl a rendszer teljes újrafertőzéséhez vezethet.