Ett tilläggsvirus eller tilläggsvirus är en typ av virus som inte förstör programmet eller filen det är insvept i, men helt enkelt modifierar det tillräckligt för att innehålla viruset och låta det fortsätta sprida/köra. Den här typen av virus är svårare att upptäcka än ett som permanent förstör programmet eller filen den är kopplad till.
Hur fungerar det?
Append-virus är något komplicerade när det kommer till vad de gör – för det första lokaliserar det en fil på vilken maskin den än är på och ser till att den har filens exakta filstorlek. Den tar sedan en ögonblicksbild av hur filen såg ut innan infektionen och sparar den för senare. Nästa steg är att kontrollera om filen redan är infekterad. Ett tilläggsvirus kan bara kontrollera sig själv när det kommer till det – om en fil råkar vara redan infekterad av en annan typ av virus kan processen misslyckas eller påverkas.
Efter att ha kontrollerat att den valda filen inte redan har en kopia av tilläggsviruset, kopierar viruset sig självt till slutet av programfilen. Detta kommer att göra filen något större än tidigare, och det skulle i teorin märkas. Vid denna tidpunkt återställer viruset attributen från ögonblicksbilden det tog, för att dölja att filen har ändrats.
De infekterade filerna är vanligtvis körbara filer som .bat- eller .exe-filer, men inte alltid. Som ett sista steg i infektionsprocessen kommer det bifogade viruset att omdirigera filens ingångspunkt - så när filen öppnas, snarare än att köras från toppen, får viruset den att köra sig själv först. På så sätt exekveras viruset i bakgrunden varje gång filen öppnas.
För användaren kanske det inte ens är någon märkbar skillnad, eftersom resten av filen fortfarande kan fungera normalt. Den exakta typen av skada och effekt viruset har (utöver att kopiera sig själv) beror på skaparens avsikt. Virus kan åstadkomma alla möjliga skadliga syften – och tilläggsvirus kan också användas till många olika saker.
Att fånga viruset
På grund av den hemliga naturen hos denna typ av virus har antivirusprogram ofta problem med att hitta dem. Ett korrekt välskrivet tilläggsvirus kommer att kryptera sig själv och gömma sig. Viruset i sig är vanligtvis inte vad antivirusprogrammet ens letar efter – varje kopia av viruset i varje fil som det infektioner kommer att se något annorlunda ut, så detektionsprogrammet kan inte bara söka efter det som det skulle göra med andra typer av virus.
Istället måste antivirusprogrammet leta efter det enda som är identiskt i alla kopior av viruset. Det är dekrypteringsmodulen. För att kryptera sig själv från fil till fil måste viruset också kunna dekryptera sig själv. Den delen av den förblir oförändrad även över filer, och kommer alltid att se likadan ut. Så det är den delen som upptäcktsprogrammen letar efter, och det är det som gör det så svårt att hitta virus.
Ju fler filer som är infekterade desto högre är oddsen för att programmet upptäcks. Detta innebär att tidiga infektioner är svårare att hitta och åtgärda, särskilt för välskrivna och nya virus. Ju längre ett virus har varit i omlopp, desto enklare och snabbare kan antivirusprogram hitta det. Detta gäller naturligtvis för alla virus, men det är särskilt relevant för att lägga till virus.
Ta bort ett tilläggsvirus
Eftersom viruset kopierar sig självt till flera filer, måste varje fil repareras för att helt bli av med infektionen. Om ens en fil missas kan viruset komma tillbaka och återinfektera filer igen. När infektionen har hittats, även om den inte togs bort helt, kommer det troligen att vara lättare att upptäcka en andra gång, men det är fortfarande viktigt att bli av med alla infekterade filer.
När det gäller infekterade program kan det vara enklast att avinstallera och installera om dem helt och hållet. Detta ser till att du börjar med en "ren" kopia av filerna igen. Det är dock möjligt att installera program som redan är infekterade. Detta är särskilt en risk när det gäller piratkopierade program eller program från inofficiella källor. Utöver det är regelbundet underhåll av antivirus ett bra sätt att förebygga och identifiera infektioner av denna typ. På samma sätt är det viktigt att se till att vilket antivirusprogram du än använder är uppdaterat. Du vill också ha den senaste tillgängliga versionen av kända virussignaturer. Detta hjälper till att identifiera nyligen upptäckta virus – inklusive exempelsignaturer av denna typ.
Obs: Om du fortfarande föredrar att piratkopiera saker, finns det en typ av programvara som du aldrig bör piratkopiera antivirusprogramvara. I princip alla piratkopierade versioner av antivirusprogram, är inte bara värdelösa utan är aktivt skadlig programvara. Om du inte vill betala för antivirusprogram, finns det legitima gratisversioner du bör använda istället.
Slutsats
Append-virus tar sitt namn från hur de infekterar filer. De lägger till sig själva i slutet av filen och justerar sedan hur filen körs så att viruset anropas först. Liksom de flesta virus använder moderna tilläggsvirus kryptering för att gömma sig från signaturbaserat antivirus. Detta lämnar heuristisk detektering och detektering av dekrypteringsfunktionen som metoder för att hitta viruset. Eftersom ett virus som infekterar andra filer kan det vara svårt att hantera bifogade virus. En enda missad infekterad fil kan leda till en fullständig återinfektion av systemet.