Dateivirus, parasitäres Virus

Dateiviren (oder parasitäre Viren) verwenden beliebige vorhandene Dateien als Hosts. In der Regel stellt der Virus den Hauptteil seines Codes an den Anfang der Host-Datei heran oder hängt den Text seines Codes an das Ende der Host-Datei an, wobei in diesem Fall der ursprüngliche Dateiinhalt intakt bleibt, mit der Ausnahme, dass der OEP (ursprünglicher Einstiegspunkt) geändert wird, so dass der Viruscode vor dem ursprünglichen, legitimen Code ausgeführt wird. Diese Infektionsmethode stellt sicher, dass der Virencode bei jedem Start der infizierten Datei ausgeführt wird, und bietet auch ein Mittel zur Verbreitung.

In einigen Fällen kann ein Virus, der Dateien infiziert, die Hostdatei beschädigen, wenn er sie infiziert, indem Teile der Hostdatei gelöscht oder überschrieben werden. In diesem Fall kann es sein, dass die Host-Datei nicht mehr korrekt läuft, obwohl sie den Virus immer noch verbreiten kann.

Ausführbare Dateien enden unter Windows oft in Erweiterungen wie .com, .dll, .exe und .sys. Bei einigen Dateiviren kann es sich um Skripte handeln, die von anderen Programmen interpretiert werden und mit Erweiterungen wie .bat (eine Batch-Datei) oder .vbs (ein Visual Basic-Programm) enden.

Aus der Perspektive eines AV-Moduls müssen Viren desinfiziert werden, um die ursprüngliche Datei wiederherzustellen, im Gegensatz zu Trojanern und Würmern, die einfach durch Löschen (und Beheben von Restschäden, wie z. B. manipulierten Registrierungseinstellungen) entfernt werden. Wenn ein Dateivirus die Hostdatei beschädigt, indem Teile davon überschrieben werden, ist eine Desinfektion keine Option.

Während Dateiviren in der DOS-Ära häufiger vorkamen als in der Windows-Ära, gibt es mehrere moderne Beispiele, wie z. B. die Familien Ramnit, Sality und Virut, die regelmäßig rund um den Globus auftauchen.