Append Virus alebo Appending Virus je typ vírusu, ktorý nezničí program ani súbor, ktorým je zabalené, ale jednoducho ho upraví natoľko, aby obsahoval vírus a nechal ho pokračovať šíriť/vykonávať. Tento typ vírusu je ťažšie odhaliť ako vírus, ktorý natrvalo zničí program alebo súbor, ku ktorému je pripojený.
Ako to funguje?
Vírusy typu Append sú trochu komplikované, pokiaľ ide o to, čo robia – najprv vyhľadá súbor na akomkoľvek počítači, na ktorom sa nachádza, a uistí sa, že má presnú veľkosť súboru. Potom urobí snímku toho, ako súbor vyzeral pred infekciou, a ponechá si ju na neskôr. Ďalším krokom je skontrolovať, či súbor už nie je infikovaný. Pridaný vírus sa môže sám skontrolovať iba vtedy, keď na to príde – ak je súbor už infikovaný iným druhom vírusu, proces môže zlyhať alebo byť ovplyvnený.
Po uistení sa, že vybraný súbor už neobsahuje kópiu pripájacieho vírusu, sa vírus skopíruje na úplný koniec programového súboru. Vďaka tomu bude súbor o niečo väčší ako predtým a teoreticky by to bolo viditeľné. V tomto bode vírus obnoví atribúty zo snímky, ktorú urobil, aby skryl, že súbor bol upravený.
Infikované súbory sú zvyčajne spustiteľné súbory, ako sú súbory .bat alebo .exe, aj keď nie vždy. Ako posledný krok procesu infekcie pripájajúci sa vírus presmeruje vstupný bod súboru – takže keď sa súbor otvorí, namiesto spustenia zhora sa vírus spustí sám najprv. Týmto spôsobom sa vírus spustí na pozadí pri každom prístupe k súboru.
Pre používateľa to nemusí byť ani viditeľný rozdiel, pretože zvyšok súboru môže stále fungovať normálne. Presný druh poškodenia a účinku vírusu (okrem samotného kopírovania) závisí od zámeru tvorcu. Vírusy môžu vykonávať najrôznejšie škodlivé účely – a pripojiť vírusy sa dajú použiť aj na mnoho rôznych vecí.
Chytanie vírusu
Kvôli skrytej povahe tohto typu vírusu má antivírusový softvér často problém ich nájsť. Správne dobre napísaný append vírus sa zašifruje a skryje. Samotný vírus zvyčajne nie je to, čo antivírusový softvér bude hľadať – každú kópiu vírusu v každom súbore, ktorý obsahuje infikované budú vyzerať trochu inak, takže detekčný program ich nemôže jednoducho vyhľadať tak, ako by to urobil s inými typmi vírusy.
Namiesto toho musí antivírusový program hľadať jednu vec, ktorá je identická vo všetkých kópiách vírusu. To je dešifrovací modul. Aby sa vírus zašifroval zo súboru do súboru, musí byť schopný sa aj dešifrovať. Táto časť zostáva nezmenená aj medzi súbormi a vždy bude vyzerať rovnako. Takže je to tá časť, ktorú detekčné programy hľadajú, a preto je hľadanie vírusov také ťažké.
Čím viac súborov je infikovaných, tým vyššia je pravdepodobnosť, že ich program zistí. To znamená, že skoré infekcie je ťažšie nájsť a opraviť, najmä v prípade dobre napísaných a nových vírusov. Čím dlhšie je vírus v obehu, tým ľahšie a rýchlejšie ho antivírusové programy dokážu nájsť. To samozrejme platí pre akýkoľvek vírus, ale je to obzvlášť dôležité pre pridávanie vírusov.
Odstránenie pridaného vírusu
Keďže sa vírus skopíruje do viacerých súborov, každý súbor musí byť opravený, aby sa úplne zbavil infekcie. Ak sa vynechá čo i len jeden súbor, vírus sa môže vrátiť a znova infikovať súbory. Keď sa infekcia nájde, aj keď nebola úplne odstránená, bude pravdepodobne ľahšie ju odhaliť druhýkrát, ale stále je dôležité zbaviť sa všetkých infikovaných súborov.
V prípade infikovaných programov môže byť najjednoduchšie ich úplne odinštalovať a znova nainštalovať. Tým sa zabezpečí, že znova začnete s „čistou“ kópiou súborov. Je však možné nainštalovať programy, ktoré sú už infikované. Toto je riziko najmä v prípade pirátskych programov alebo programov z neoficiálnych zdrojov. Okrem toho je pravidelná antivírusová údržba dobrým spôsobom prevencie a identifikácie infekcií tohto typu. Podobne je dôležité uistiť sa, že akýkoľvek antivírusový program, ktorý používate, je aktuálny. Budete tiež chcieť najnovšiu dostupnú verziu známych vírusových podpisov. Pomáha to identifikovať nedávno objavené vírusy – vrátane príkladov podpisov tohto typu.
Poznámka: Ak stále uprednostňujete pirátstvo, existuje jeden typ softvéru, ktorý by ste nikdy nemali pirátsky používať. V podstate všetky pirátske verzie antivírusového softvéru sú nielen zbytočné, ale sú aj aktívnym škodlivým softvérom. Ak nechcete platiť za antivírusový softvér, namiesto toho by ste mali použiť legitímne bezplatné verzie.
Záver
Vírusy typu Append majú svoj názov podľa toho, ako infikujú súbory. Pripájajú sa na koniec súboru a potom upravujú, ako súbor beží, aby sa vírus volal ako prvý. Ako väčšina vírusov, moderné pripájacie vírusy používajú šifrovanie, aby sa skryli pred antivírusom založeným na podpisoch. To ponecháva heuristickú detekciu a detekciu dešifrovacej funkcie ako metódy na nájdenie vírusu. Ako vírus, ktorý infikuje iné súbory, môže byť ťažké sa s nimi vysporiadať. Jediný vynechaný infikovaný súbor môže viesť k úplnej reinfekcii systému.