Компаньйон-віруси

До категорії "компаньйон" відносяться віруси, які не змінюють фай­лів, що заражаються. Алгоритм роботи цих вірусів полягає в тому, що для файла, який заражається, створюється файл-двійник, причому при запуску зараженого файлу керування одержує саме цей двійник, тобто вірус.

1. Найбільш поширені компаньйон-віруси, що використовують особ­ли­вість DOS першим виконувати .COM-файл, якщо в одному каталозі при­сутні два файли з тим самим ім'ям, але різними расширеннями імені – .COM і .EXE. Такі віруси створюють для EXE-файлів файли-су­пут­ни­ки, що мають те ж саме ім'я, але з розширенням .COM, наприклад, для файлу XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і ніяк не змінює EXE-файл. При запуску такого файлу DOS першим знайде і виконає COM-файл, тобто вірус, який потім запустить і EXE-файл. Деякі віруси використовують не тільки варіант COM-EXE, але також і BAT-COM-EXE.

2. Другу групу складають віруси, що при зараженні перейменовують файл у яке-небудь інше ім'я, запам'ятовують його (для наступного запуску фай­ла-хазяїна) і записують свій код на диск під іменем файла, що за­ра­жа­ється. Наприклад, XCOPY.EXE перейменовується в XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску керування одер­жує код вірусу, що потім запускає оригінальний XCOPY, що збері­га­єть­ся під ім'ям XCOPY.EXD. Цікавий той факт, що даний метод працює, напевно, у всіх операційних системах: в DOS, в Windows і OS/2.

3. У третю групу входять так називані "Path-companion" віруси, що "гра­ють" на особливостях PATH.Вони або записують свій код під іменемзараженого файлу, але "вище" на один рівень PATH (ОС, таким чином, першим знайде і запустить файл-вірус), або переносять файл-жертву на один підкаталог вище і т.д.

Можливе існування й інших типи компаньйонів-вірусів, що вико­ри­стовують інші оригінальні чи ідеї особливості інших операційних систем.

Link-віруси

Link-віруси, як і компаньйон-віруси не змінюють фізичного вмісту файлів, однак під час запуску зараженого файла "змушують" ОС виконати свій код. Цієї мети вони досягають модифікацією необхідних полів файлової системи. На сьогоднішній день відомий єдиний тип Link-вірусів – віруси сімейства "Dir_II". При зараженні системи вони записують своє тіло в останній кластер логічного диска. При зараженні файлу віруси коректують лише номер першого кластера файла, розташований у відповідному секторі каталогу. Новий початковий кластер файлабуде вказувати на кластер, що містить тіло вірусу. Отже, при зараженні файлів їх довжини і вміст кластерів диска, що містять ці файли, не змінюються, а на всі заражені файли на одному логічному диску буде приходитися тільки одна копія вірусу.

Таким чином, дозараження дані каталогу зберігають адресупершого кластера файлу (рис.9,а), апісля зараження дані каталогувказуютьна вірус, тобто при запуску файлу керування одержують несамі файли, а вірус (рис.9,б).

Файлові хробаки

Файлові хробаки (worms) є, у деякому сенсі, різновидом ком­пань­йо­н-вірусів, але при цьому ніяким чином не пов'язують свою присутність з якимось виконуваним файлом. При розмноженні вони лише копіюють свій код у які-небудь каталоги дисків у надії, що ці нові копії будуть колись запущені користувачем. Іноді ці віруси дають своїм копіям спеці­альні імена, щоб підштовхнути користувача на запуск своєї копії,наприклад, INSTALL.EXE чи WINSTART.BAT.

Існують віруси-хробаки, що використовують досить незвичайні при­йо­ми, наприклад, записують свої копії в архіви (ARJ, ZIP та ін.). До та­ких вірусів відносяться "ArjVirus" і "Winstart". Деякі віруси записують ко­манду запуску зараженого файлу в BAT-файли (наприклад, "Worm.Info").

Не слід плутати файлові віруси-хробакиз мережними хробаками. Пер­ші використовують тільки файлові функції якої-небудьОС, другі ж при своєму розмноженні користуються мережними протоколами.

OBJ-, LIB-віруси і віруси у вихідних текстах

Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм досить екзотичніі практично не поширені. Усього їх біля десятка.

Віруси, що заражають OBJ- і LIB-файли, записують у них свій код у форматі об'­єкт­ного модуля чибібліотеки. Заражений файл, таким чином, не є виконуваним і нездатний на подальше поширення вірусу у своєму поточному стані. Носієм же "живого" вірусу стає COM- чи EXE-файл, одержуваний у процесі лінковки зара­же­ного OBJ/LIB-файлу з інши­ми об'єктними модулями і бібліотеками. Таким чином, вірус поширюється в два етапи:на першому заражаються OBJ/LIB-файли, на другому етапі (лінковка) виходить працездатний вірус.

Зараження вихідних текстів програм є логічним продовженням попе­ред­ньо­го методу розмноження. При цьому вірус додає до вихідних текстів свій вихідний код (у цьому випадку вірус повиненмістити його у своєму тілі) чи свій шіст­над­цят­ковий дамп (що технічно легше). Заражений файл здатний на подальше поширення вірусу тільки після компіляції і лінковки (віруси "SrcVir", "Urphin").