File virus, Parasitic virus

Copia l’URL dell’articolo corrente Invia tramite e-mail

Questo articolo (PDF) Tutta la documentazione (PDF)

I virus di file (o virus parassiti) utilizzano file esistenti arbitrari come host. Di solito, il virus antepone il corpo del suo codice all'inizio o aggiunge il corpo del suo codice alla fine del file host, nel qual caso il contenuto del file originale rimane intatto, ad eccezione del fatto che l'OEP (punto di ingresso originale) viene modificato, in modo che il codice del virus venga eseguito prima del codice originale legittimo. Questo metodo di infezione garantisce che il codice del virus venga eseguito ogni volta che il file infetto viene avviato e fornisce anche un mezzo di diffusione.

In alcuni casi, un virus che infetta i file può danneggiare il file host quando lo infetta cancellando o sovrascrivendo parti del file host. In questo caso, il file host potrebbe non essere più eseguito correttamente, anche se può comunque diffondere il virus.

I file eseguibili spesso terminano con estensioni come .com, .dll, .exe e .sys in Windows. Alcuni virus di file possono essere script interpretati da altri programmi e terminare con estensioni come .bat (un file batch) o .vbs (un programma Visual Basic).

Dal punto di vista di un motore AV, i virus devono essere disinfettati per recuperare il file originale, a differenza di trojan e worm, che vengono puliti semplicemente eliminandoli (e correggendo i danni residui, come le impostazioni di registro truccate). Se un virus danneggia il file host sovrascrivendo parti di esso, la disinfezione non è un'opzione.

Mentre i virus dei file erano più comuni nell'era DOS che nell'era di Windows, esistono diversi esempi moderni, come le famiglie Ramnit, Sality e Virut, che appaiono regolarmente in tutto il mondo.

˄˅