Filvirus, parasittisk virus

Kopier URL-adresse til nåværende artikkel Del via e-post

Denne artikkelen (PDF) All dokumentasjon (PDF)

Filvirus (eller parasittiske virus) bruker vilkårlige eksisterende filer som verter. Vanligvis legger viruset hoveddelen av koden til begynnelsen av eller legger til brødteksten i koden til slutten av vertsfilen, i så fall forblir det opprinnelige filinnholdet intakt, bortsett fra at OEP (opprinnelig inngangspunkt) er modifisert, slik at viruskoden kjøres før den opprinnelige, legitime koden. Denne infeksjonsmetoden sikrer at viruskoden kjøres hver gang den infiserte filen startes, og gir også en måte å spre seg på.

I noen tilfeller kan et filinfiserende virus skade vertsfilen når den infiseres ved å slette eller overskrive deler av vertsfilen. I dette tilfellet kan det hende at vertsfilen ikke lenger kjører riktig, selv om den fortsatt kan spre viruset.

Kjørbare filer ender ofte i utvidelser som .com, .dll, .exe og .sys under Windows. Noen filvirus kan være skript som tolkes av andre programmer og ender med filtyper som .bat (en satsvis fil) eller .vbs (et Visual Basic-program).

Fra perspektivet til en AV-motor, må virus desinfiseres for å gjenopprette den originale filen, i motsetning til trojanere og ormer, som renses ved ganske enkelt å slette dem (og fikse gjenværende skader, for eksempel gimmicked registerinnstillinger). Hvis et filvirus skader vertsfilen ved å overskrive deler av den, er desinfisering ikke et alternativ.

Mens filvirus var mer vanlig i DOS-tiden enn i Windows-tiden, finnes det flere moderne eksempler, for eksempel Ramnit-, Sality- og Virut-familiene, som regelmessig dukker opp over hele verden.

˄˅