Et tilleggsvirus eller tilleggsvirus er en type virus som ikke ødelegger programmet eller filen det er pakket inn, men bare modifiserer det nok til å inneholde viruset og la det fortsette spre/utføre. Denne typen virus er vanskeligere å oppdage enn en som permanent ødelegger programmet eller filen den er knyttet til.
Hvordan virker det?
Append-virus er noe kompliserte når det kommer til hva de gjør – for det første finner den en fil på hvilken maskin den er på og sørger for at den har den nøyaktige filstørrelsen til filen. Den tar deretter et øyeblikksbilde av hvordan filen så ut før infeksjonen og beholder den til senere. Det neste trinnet er å sjekke om filen allerede er infisert. Et tilleggsvirus kan bare sjekke for seg selv når det kommer til det - hvis en fil tilfeldigvis allerede er infisert av en annen type virus, kan prosessen mislykkes eller bli påvirket.
Etter å ha kontrollert at den valgte filen ikke allerede har en kopi av tilleggsviruset i seg, kopierer viruset seg selv helt til slutten av programfilen. Dette vil gjøre filen litt større enn før, og det vil i teorien være merkbart. På dette tidspunktet gjenoppretter viruset attributtene fra øyeblikksbildet det tok, for å skjule at filen har blitt endret.
Filene som er infisert er vanligvis kjørbare filer som .bat- eller .exe-filer, men ikke alltid. Som et siste trinn i infeksjonsprosessen vil det vedlagte viruset omdirigere filens inngangspunkt - så når filen åpnes, i stedet for å kjøre fra toppen, får viruset den til å kjøre seg selv først. På den måten kjøres viruset i bakgrunnen hver gang filen åpnes.
For brukeren er det kanskje ikke en merkbar forskjell, siden resten av filen fortsatt kan fungere normalt. Den nøyaktige typen skade og effekt viruset har (utover å kopiere seg selv) avhenger av intensjonen til skaperen. Virus kan oppnå alle slags ondsinnede formål – og tilleggsvirus kan også brukes til mange forskjellige ting.
Å fange viruset
På grunn av den skjulte naturen til denne typen virus, har antivirusprogramvare ofte problemer med å finne dem. Et riktig velskrevet tilleggsvirus vil kryptere seg selv og gjemme seg. Viruset i seg selv er vanligvis ikke det antivirusprogramvaren en gang vil se etter – hver kopi av viruset i hver fil som den infiserer vil se litt annerledes ut, så deteksjonsprogrammet kan ikke bare søke etter det slik det ville gjort med andre typer virus.
I stedet må antivirusprogrammet se etter den ene tingen som er identisk i alle kopier av viruset. Det er dekrypteringsmodulen. For å kryptere seg selv fra fil til fil må viruset også kunne dekryptere seg selv. Den delen av den forblir uendret selv på tvers av filer, og vil alltid se lik ut. Så det er den delen deteksjonsprogrammene ser etter, og det er det som gjør det så vanskelig å finne virusene.
Jo flere filer som er infisert, jo høyere er sjansen for å bli oppdaget av programmet. Dette betyr at tidlige infeksjoner er vanskeligere å finne og fikse, spesielt for velskrevne og nye virus. Jo lenger et virus har vært i omløp, jo enklere og raskere kan antivirusprogrammer finne det. Dette gjelder selvfølgelig for alle virus, men det er spesielt relevant for å legge til virus.
Fjerner et tilleggsvirus
Siden viruset kopierer seg selv inn i flere filer, må hver fil repareres for å bli fullstendig kvitt infeksjonen. Hvis til og med én fil savnes, kan viruset komme tilbake og infisere filer på nytt. Når infeksjonen er funnet, selv om den ikke ble fjernet fullstendig, vil det sannsynligvis være lettere å oppdage en gang til, men det er fortsatt viktig å bli kvitt alle infiserte filer.
Når det gjelder infiserte programmer, kan det være enklest å avinstallere og installere dem helt på nytt. Dette sørger for at du starter med en "ren" kopi av filene igjen. Det er imidlertid mulig å installere programmer som allerede er infisert. Dette er spesielt en risiko når det gjelder piratkopierte programmer eller programmer fra uoffisielle kilder. Utover det er regelmessig antivirusvedlikehold en god måte å forhindre og identifisere infeksjoner av denne typen. På samme måte er det viktig å sørge for at det antivirusprogrammet du bruker er oppdatert. Du vil også ha den nyeste tilgjengelige versjonen av kjente virussignaturer. Dette hjelper til med å identifisere nylig oppdagede virus – inkludert eksempelsignaturer av denne typen.
Merk: Hvis du fortsatt foretrekker å piratkopiere ting, er det én type programvare du aldri bør piratkopiere antivirusprogramvare. I hovedsak alle piratkopierte versjoner av antivirusprogramvare er ikke bare ubrukelige, men er aktivt skadelig programvare. Hvis du ikke vil betale for antivirusprogramvare, er det legitime gratisversjoner du bør bruke i stedet.
Konklusjon
Append-virus tar navnet sitt fra hvordan de infiserer filer. De legger seg til slutten av filen og justerer deretter hvordan filen kjører slik at viruset kalles opp først. Som de fleste virus bruker moderne tilleggsvirus kryptering for å skjule seg fra signaturbasert antivirus. Dette etterlater heuristisk deteksjon og deteksjon av dekrypteringsfunksjonen som metoder for å finne viruset. Som et virus som infiserer andre filer, kan tilleggsvirus være vanskelig å håndtere. En enkelt ubesvart infisert fil kan føre til en fullstendig systemreinfeksjon.