Begleit-Virus

URL des aktuellen Artikels kopieren Per E-Mail teilen

Dieser Artikel (PDF) Gesamte Dokumentation (PDF)

Begleitviren replizieren sich, indem sie die Rangfolge ausnutzen, in der das Betriebssystem Programmdateien basierend auf ihren Dateinamenerweiterungen ausführt.

So werden z.B. unter MS-DOS Dateien mit der Dateiendung .bat (Batch-Dateien) vor Dateien mit der Dateiendung .com ausgeführt, die wiederum vor denen der Dateiendung .exe ausgeführt werden.

Begleitviren können eigenständige Dateien erstellen, die ihren Viruscode enthalten, aber eine Dateierweiterung mit höherer Priorität haben, oder die "Zieldatei" in eine Dateierweiterung mit niedrigerer Priorität umbenennen, sodass die Datei mit dem Viruscode ausgeführt wird, bevor die Kontrolle an die ursprüngliche Programmdatei übertragen wird (oder ihre Nutzlast aktiviert wird).

Ein weiteres Beispiel für einen Begleitvirus auf heutigen Windows-Plattformen nutzt die Suchreihenfolge von DLL-Bibliotheken aus. Wenn sich die Malware selbst als DLL in das Verzeichnis einer App kopiert, hat sie Vorrang vor der DLL mit demselben Namen im Systemverzeichnis oder in einem der Verzeichnisse, die durch die Umgebungsvariable PATH angegeben werden.

˄˅