Энциклопедия компьютерных вирусов
Внедрение вируса в начало файла
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус создает в оперативной памяти свою копию, дописывает к ней заражаемый файл и сохраняет полученную конкатенацию на диск. Некоторые вирусы при этом дописывают в конец файла блок дополнительной информации (например, вирус «Jerusalem» по этому блоку отличает зараженные файлы от незараженных).
+-----------------------------+ Внедрение вируса в начало | Файл | файла первым способом +-----------------------------+ +-------------------------------+ V + - - - --------------------------------+ |Свободно| Файл | | + - - - --------------------------------+
+---------------------------------------+- - + |Вирус | Файл | | | +---------------------------------------+- - +
+-----------------------------+ Внедрение вируса в начало | Файл | файла вторым способом +-----------------------------+ | +----------+ +--------+ | V V + - - - ---------------------------------+ |Свободно| Файл | + - - - ---------------------------------+
+----------------------------------------+- - + |Вирус | Файл | | +----------------------------------------+- - +
Внедрение вируса в начало файла применяется в подавляющем большинстве случаев при заражении DOS'овских BAT- и COM-файлов. Известно несколько вирусов, записывающих себя в начало EXE-файлов операционных систем DOS, Windows и даже Linux. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).
