Vīrusu klasifikācija: Failu vīrusi |
|
| Pārsvarā failu vīrusi inficē dažādu operētājsistēmu izpildāmos failus (EXE, COM, BAT), izpildāmos un ielādējamos sitēmfailus, draiverus (SYS, DRV, VXD, DLL), vai arī kādus īpašus sitēmfailus (IO.SYS, MSDOS.SYS). Gadās arī kādi īpaši failu vīrusi, kas parazitē ne tikai uz iepriekš minētajiem failiem. Piemēram, vīruss Win2K.Installer ,kurš noteikti inficē visus MSI (Microsoft Windows Installer) failus, bet iespējams ka šis vīruss var tikt atrasts arī šādos failos: EXE, COM, DLL, ACM, AX, CNV, CPL, DRV, MPD, OCX, PCI, SCR, SYS, TSP, TLB, VWP, WPC. Datorā ir nonācis inficēts fails. Vīruss pats nespēj sevi aktivizēt un līdz brīdim kamēr fails netiek nolasīts vīruss ir nekaitīgs. Tiklīdz faila kods tiek nolasīts vīruss ierakstās operatīvajā atmiņā. Un atkarība no vīrusa tālakajām darbībām tos iedala: Tiešajos - kas aktivizējas līdz ar programmas palaišanu un bez nekādas vilcināšanās sāk savu kaitīgo darbību. Tas gan ir liels traucēklis, lai vairotos un šādi vīrusi parasti neinficē vairāk par trim failiem. Rezidentajos - kas ielādējas operatīvajā atmiņā, sāk inficēt citas programmas, kas tiek izpildītas. Un gaida kādus īpašu apstākļus, lai sāktu savu kaitniecisko darbību, kādas darbības izpildīšanu, kādas programmas palaišanu vai arī kāda datuma iestāšanos. Failu vīrusi datorā izvietojas šādos veidos: Pārrakstot - Tas ir visvienkāršākais veids kā vīruss izvietojas programmā. Vīruss pilnībā izdzēš inficējamās programmas kodu un aizvieto to ar savu kodu un programma protams vairs nedarbojas. Šādi vīrusi sevi visātrāk nodod, jo OS vai programma pilnībā pārstāj darboties. Parazitējot - Vīruss iestarpina savu kodu faila sākumā, beigās, vidū, vai arī sadalās pa neizmantotajām vietām, tā, ka inficētā programma var tikai daļēji nedarboties. Failu vīrusiem ir vēl viens veids, kā iestarpināt vīrusa kodu. Vīruss ierakstās kaut kur faila vidū, bet faila sākumā izveido nelielu kodu, kas pārbauda, vai nav izpildījies kāds nosacījums, pie kura izpildīt īsto vīrusa kodu. Ar kompanjonu - Vīruss izveido vēl vienu kopiju no inficējamās programas un inficē kopiju, citā variantā vīruss izmaina kopijas nosaukumu un ievieto tur vīrusu, vai arī kopija tiek novietota pavisam citā diska vietā. Programmu kopijas ir ar .com paplašinājumu, jo DOS vidē ievadot izpildāma faila nosaukumu bez paplašinājuma DOS vispirms meklēs šādu failu ar paplašinājumu .COM un tikai pēc tam ar .EXE .BAT . Piemēram ja vienā direktorijā atrodas faili neinficēts ABC.EXE un vīrusa izveidota un inficēta kopija ABC.COM, ievadot komandu ABC tiks palaists inficētais ABC.COM . Failu tārpi - Šos tārpus nevajadzētu jaukt ar tīkla tārpiem, jo failu tārpi izmanto faila un OS resursus, bet tīkla tārpi izmanto tīkla protokolus. Failu tārpi līdzīgi kā iepriekš minētie vīrusi izveido programmas kopiju un inficē to. Pēc tam izvieto jauno inficēto programmu kaut kur uz cietā diska un lai piespiestu lietotāju aiz ziņkārības to kādreiz palaist pārsauc to par piemēram: INSTALL.EXE, SETUP.EXE, WINSTART.BAT u.c. Daži vīrusi pēc tam ieraksta komandu izpildīt šo failu visos bat failos. Piemēram: vīruss "Worm.Info". Zem failu tāpiem ir daži vīrusi, kas izmantojot īpašas retas tehnoloģijas, spēj inficēt arhivētus failus ZIP, ARJ, RAR. Piemēram vīrusi "ArjVirus" un "Winstart". Ar saiti - Vīruss neizmaina faila kodu tas izmaina attiecīgos OS iestādījumus tā, lai kad tiek palaists inficēts fails tiek palaists arī vīrusa kods. Pagaidām pie šāda veida vīrusiem pieder tikai "DIR_II" tipa vīrusi. Tie izmainot pirmo direktorijas klasteri (cluster) ievieto tajā norādi uz pēdējo klasteri, kur atrodas vīruss. Tā ka palaižot inficēto failu patiesība tiek izpildīts vīrusa kods.
|
