Parasitic-вирусы.

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами – путем переноса части файла в его конец или внедрения в заведомо неиспользуемые данные файла (cavity-вирусы).

Рис. 3. Внедрение вируса начало файла первым способом

Рис. 4. Внедрение вируса в начало файла вторым способом

Внедрение вируса в начало файла. Известны два способа внедрения паразитического файлового вируса в начало файла.

Первый способ (см. Рис. 2.3.) заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется на освободившееся место.

Второй способ (см. Рис. 2.4.) – при заражении файла вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конструкцию на диск.

При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).

Внедрение вируса в конец файла. Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец (см. Рис. 2.5.). При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Изменяется точка запуска программы в заголовке исполняемого файла.

Рис. 5. Внедрение вируса в конец файла

Внедрение вируса в середину файла. Существует несколько возможностей внедрения вируса в середину файла.

Первый метод – наиболее простой из них, когда вирус переносит часть файла в его конец или раздвигает файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Отдельные вирусы при этом сжимают переносимый блок файла так, что длина файла при заражении не изменяется.

Второй метод – (cavity) при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области таблицы настройки адресов ЕХЕ-файла или заголовок EXE-файла, в область стека файла или в область текстовых сообщений популярных компиляторов. Некоторые вирусы заражают только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока. Кроме того, копирование вирусав середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.