Файловый вирус

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Файловый вирус (англ. File infector) — компьютерный вирус, который для своего размножения использует файловую систему, внедряясь в исполняемые файлы практически любой ОС.

Объектом вирусного поражения могут выступать исполняемые двоичные файлы (EXE, COM), файлы динамических библиотек (DLL), драйверы (SYS), командные файлы (BAT, CMD) и тому подобное.

Описание[править | править вики-текст]

Заражая файл, вирус может внедриться в его начало, конец или середину. Наиболее распространенным способом заражения COM-программ для MS-DOS является внедрение в конец файла. При этом основной код дописывается в конец файла, а в его начало записывается команда перехода к телу вируса.

Для вирусов, заражающих PE-программы для Windows, характерно размещение тела вируса либо в дополнительной секции, либо в пустых «хвостах» секций, либо в неиспользуемом пространстве между заголовком и секциями. Общая длина файла при этом может оставаться прежней. Похожими приемами пользуются и немногочисленные файловые вирусы, заражающие программы для операционных систем семейства UNIX (например, ELF-программы для Linux).

Чтобы скрыть своё присутствие в системе, файловый вирус может предварительно сохранить дату и время последней модификации и значения атрибутов заражаемого файла, восстановив эти данные уже после заражения.

После того как вирус получил управление, он выполняет следующие действия:

  • Восстанавливает в оперативной памяти компьютера исходную программу (или её необходимую часть) для последующего её выполнения.
  • Осуществляет дальнейшее заражение, инфицируя другие файлы или оперативную память компьютера.
  • Выполняет иные деструктивные действия, если это предусмотрено алгоритмом.

При этом все действия вируса, как правило, незаметны для пользователя программы.

Разновидности[править | править вики-текст]

Различают резидентные и нерезидентные файловые вирусы. Первые загружают в оперативную память резидентную часть, которая впоследствии может отслеживать открываемые пользователем файлы, заражая их. Нерезидентные вирусы, после того как получили управление, производят поиск файлов для заражения в текущем и (или) корневом каталогах, либо в каталогах, указанных в системной переменной среды PATH. В Windows возможны так же «полурезидентные» вирусы, представляющие собой параллельно работающие потоки зараженной программы.

Также к числу файловых вирусов можно отнести перезаписывающие вирусы, которые при заражении записываются поверх программы и поэтому необратимо портят её. Еще одна разновидность — вирусы-спутники (компаньоны), которые представляют собой «дубликат» заражаемой программы, запускающийся вместо неё.

Меры защиты[править | править вики-текст]

Как правило, для программ, зараженных файловыми вирусами, возможно «излечение» при помощи антивирусов, то есть восстановление их исходного состояния. Антивирусы, обладающие такой способностью, называются «фагами» (если умеют «излечивать» один тип вирусов) или «полифагами» (если несколько). Но программы, уничтоженные перезаписывающими вирусами, «излечению» не поддаются.

Правильно настроенные политики разграничения доступа, характерные для современных операционных систем, способны в значительной степени препятствовать распространению файловых вирусов по каталогам компьютера.

Создание и распространение файловых вирусов было характерно для эпохи MS-DOS и первых лет использования 32-разрядных Windows, то есть, примерно до 2000 года. Авторами такого рода вирусов являлись непрофессионалы: школьники, студенты, начинающие программисты. Побудительными мотивами: любопытство, стремление к самоутверждению и т. п. Но в новом веке, примерно к 2005 году, киберандеграунд уступил своё место криминалу. Являясь не слишком быстрым и надежным средством доставки вредоносного кода к конечному пользователю, файловые вирусы не привлекли интереса новых поколений вирусописателей и в значительной степени перестали создаваться (редкие исключения — Sality, Virut и некоторые другие).

По усредненным данным антивирусных компаний, для MS-DOS создано около 20000 файловых вирусов и вирусных семейств, для Windows около 1000 (из них после 2005 года всего несколько десятков), для Linux около 100, для остальных ОС образцы файловых вирусов единичны[источник не указан 585 дней].

См. также[править | править вики-текст]

Литература[править | править вики-текст]

  • Касперский Е. Компьютерные вирусы в MS-DOS. — М.: Эдель, 1992. С. 176. ISBN 5-85308-001-6
  • Хижняк П. Л. Пишем вирус и… антивирус. / Под общей редакцией И. М. Овсянниковой — М.: ИНТО, 1991. С. 90. ISBN 5-86028-011-4
  • Касперски К. Записки исследователя компьютерных вирусов. — СПб.: Питер, 2005. С. 316. ISBN 5-469-00331-0
  • Климентьев К. Е. Компьютерные вирусы и антивирусы: взгляд программиста. — М.: ДМК-Пресс, 2013. С. 656. ISBN 978-5-94074-885-4

Ссылки[править | править вики-текст]