Companion-virus

URL van huidige artikel kopiëren Delen via e-mail

Dit artikel (PDF) Volledige documentatie (PDF)

Begeleidende virussen repliceren door gebruik te maken van de prioriteitshiërarchie waarin het besturingssysteem programmabestanden uitvoert op basis van hun bestandsnaamextensies.

Onder MS-DOS bijvoorbeeld worden bestanden met de bestandsextensie .bat (batchbestanden) uitgevoerd vóór die met de bestandsextensie .com, die op hun beurt worden uitgevoerd vóór die van een bestandsextensie van .exe.

Companion-virussen kunnen zelfstandige bestanden maken die hun virale code bevatten, maar een bestandsextensie met een hogere prioriteit hebben, of het "gerichte" bestand hernoemen met een bestandsextensie met een lagere prioriteit, zodat het bestand met de virale code wordt uitgevoerd voordat de controle wordt overgedragen aan het oorspronkelijke programmabestand (of de payload ervan wordt geactiveerd).

Een ander voorbeeld van een begeleidend virus op de huidige Windows-platforms maakt gebruik van de zoekvolgorde van dll-bibliotheken. Als de malware zichzelf als een dll naar de map van een app kopieerde, zou deze voorrang krijgen op de dll met dezelfde naam in de systeemmap of een van de mappen die zijn gespecificeerd door de PATH-omgevingsvariabele.

˄˅