Энциклопедия компьютерных вирусов
Link-вирусы
Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
На сегодняшний день известен единственный тип Link-вирусов - вирусы семейства «Dir_II». При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.
До заражения данные каталога хранят адрес первого кластера файла:
Сектор каталога Диск +--------------+ +----------------------+ |Имя 1 |------>|+--------------------+| |- - - - - - - | ||Файл 1 || |Имя 2 | |+--------------------+| |- - - - - - - |------>|+--------------------+| | | ||Файл 2 || |- - - - - - - | |+--------------------+| | | |- - - - - - - | | | |Имя n |------>|+--------------------+| +--------------+ ||Файл n || |+--------------------+| | | +----------------------+
После заражения данные каталога указывыют на вирус, т.е. при запуске файла управление получают не файлы, а вирус:
Сектор каталога Диск +--------------+ +----------------------+ |Имя 1 |----+ |+--------------------+| |- - - - - - - | | ||Файл 1 || |Имя 2 | | |+--------------------+| |- - - - - - - |--->| |+--------------------+| | | | ||Файл 2 || |- - - - - - - | | |+--------------------+| | | | |- - - - - - - | | | | |Имя n |--->| |+--------------------+| +--------------+ | ||Файл n || | |+--------------------+| | | | | | %%%%%%%%%%%%%%%%%%%% | +->| % Вирус %%%%%%%%%%%% | | %%%%%%%%%%%%%%%%%%%% | +----------------------+
