Append Virus или Appending Virus — это тип вируса, который не уничтожает программу или файл, который он завернутый, а просто модифицирует его достаточно, чтобы содержать вирус и позволить ему продолжать распространять/выполнять. Этот тип вируса сложнее обнаружить, чем тот, который безвозвратно уничтожает программу или файл, к которому он прикреплен.
Как это работает?
Вирусы с добавлением несколько сложны, когда дело доходит до того, что они делают — во-первых, они находят файл на любой машине, на которой он находится, и удостоверяются, что он имеет точный размер файла. Затем он делает снимок того, как файл выглядел до заражения, и сохраняет его на потом. Следующий шаг — проверить, не заражен ли файл. Вирус добавления может проверить только сам себя, когда дело доходит до этого — если файл уже заражен другим типом вируса, процесс может завершиться ошибкой или быть затронутым.
Убедившись, что в выбранном файле еще нет копии присоединяющего вируса, вирус копирует себя в самый конец файла программы. Это сделает файл немного больше, чем раньше, и теоретически это будет заметно. В этот момент вирус восстанавливает атрибуты сделанного им снимка, чтобы скрыть, что файл был изменен.
Зараженные файлы обычно представляют собой исполняемые файлы, такие как файлы .bat или .exe, хотя и не всегда. В качестве последнего шага процесса заражения присоединяющийся вирус перенаправляет точку входа файла — поэтому, когда файл открывается, а не запускается сверху, вирус заставляет его выполняться сам первый. Таким образом, вирус запускается в фоновом режиме каждый раз при доступе к файлу.
Для пользователя разница может быть даже не заметна, так как остальная часть файла все еще может нормально функционировать. Точный вид вреда и эффекта, который оказывает вирус (помимо самого копирования), зависит от намерений создателя. Вирусы могут выполнять всевозможные вредоносные действия, а добавочные вирусы также могут использоваться для самых разных целей.
Поймать вирус
Из-за скрытого характера вирусов этого типа антивирусное программное обеспечение часто не может их найти. Правильно написанный добавочный вирус зашифрует себя и спрячется. Сам вирус обычно не является тем, что даже будет искать антивирусное программное обеспечение — каждая копия вируса в каждом файле, который он infects будут выглядеть несколько иначе, поэтому программа обнаружения не сможет просто искать их, как это было бы с другими типами вирусов. вирусы.
Вместо этого антивирусная программа должна искать одну вещь, которая идентична во всех копиях вируса. Это модуль расшифровки. Чтобы зашифровать себя от файла к файлу, вирус также должен быть в состоянии расшифровать себя. Эта часть остается неизменной даже между файлами и всегда будет выглядеть одинаково. Таким образом, это та часть, которую ищут программы обнаружения, и это то, что делает обнаружение вирусов таким трудным.
Чем больше файлов заражено, тем выше вероятность того, что программа их обнаружит. Это означает, что ранние заражения труднее найти и исправить, особенно хорошо написанные и новые вирусы. Чем дольше вирус находится в обращении, тем легче и быстрее антивирусные программы могут его найти. Конечно, это верно для любого вируса, но особенно важно для присоединяющихся вирусов.
Удаление аппендицитного вируса
Поскольку вирус копирует себя в несколько файлов, каждый файл необходимо восстановить, чтобы полностью избавиться от инфекции. Если хотя бы один файл пропущен, вирус может вернуться и снова заразить файлы. После того, как инфекция была обнаружена, даже если она не была удалена полностью, ее, вероятно, будет легче обнаружить во второй раз, но все же важно избавиться от всех зараженных файлов.
В случае зараженных программ проще всего удалить их и полностью переустановить. Это гарантирует, что вы снова начнете с «чистой» копии файлов. Однако можно установить уже зараженные программы. Это особенно опасно в случае пиратских программ или программ из неофициальных источников. Кроме того, регулярное антивирусное обслуживание является хорошим способом предотвращения и выявления инфекций этого типа. Точно так же важно убедиться, что любая антивирусная программа, которую вы используете, обновлена. Вам также понадобится самая последняя доступная версия известных сигнатур вирусов. Это помогает идентифицировать недавно обнаруженные вирусы, включая примеры сигнатур этого типа.
Примечание. Если вы все еще предпочитаете пиратское ПО, есть один тип программного обеспечения, которое никогда не следует пиратить. Антивирусное программное обеспечение. По сути, все пиратские версии антивирусного программного обеспечения не только бесполезны, но и являются вредоносными программами. Если вы не хотите платить за антивирусное программное обеспечение, вместо этого вы должны использовать законные бесплатные версии.
Заключение
Добавляющие вирусы получили свое название от того, как они заражают файлы. Они добавляют себя в конец файла, а затем корректируют работу файла таким образом, чтобы сначала вызывался вирус. Как и большинство вирусов, современные вирусы-добавки используют шифрование, чтобы скрыться от сигнатурного антивируса. Это оставляет эвристическое обнаружение и обнаружение функции расшифровки как методы поиска вируса. Как вирус, который заражает другие файлы, с добавочными вирусами может быть трудно бороться. Один пропущенный зараженный файл может привести к полному повторному заражению системы.