Истории о вирусах

Вирусы-спутники (Companion)


Эти вирусы получили свое название из-за алгоритма размножения:

к каждому инфицированному файлу создается файл-спутник. Рассмот-

рим более подробно два типа вирусов этой группы:

Вирусы первого типа размножается следующим образом. Для каждого ин-

фицируемого ЕХЕ-файла в том же каталоге создается файл с вирусным

кодом, имеющий такое же имя, что и ЕХЕ-файл, но с расширением

СОМ. Вирус активируется, если при запуске программы в командной

строке указано только имя исполняемого файла. Дело в том, что, если

не указано расширение файла, DOS сначала ищет в текущем каталоге

файл с заданным именем и расширением СОМ. Если СОМ-файл с та-

ким именем не найден, ведется поиск одноименного ЕХЕ-файла. Если

не найден и ЕХЕ-файл, DOS попробует обнаружить ВАТ (пакетный)



файл. В случае отсутствия в текущем каталоге исполняемого файла

с указанным именем поиск ведется во всех каталогах, доступных

по переменной PATH. Другими словами, когда пользователь хочет за-

пустить программу и набирает в командной строке только ее имя

(в основном так все и делают), первым управление получает вирус,

код которого находится в СОМ-файле. Он создает СОМ-файл еще

к одному или нескольким ЕХЕ-файлам (распространяется), а затем

исполняет ЕХЕ-файл с указанным в командной строке именем. Поль-

зователь же думает, что работает только запущенная ЕХЕ-программа.

Вирус-спутник обезвредить довольно просто - достаточно удалить

СОМ-файл.

Вирусы второго типа действуют более тонко. Имя инфицируемого

ЕХЕ-файла остается прежним, а расширение заменяется каким-либо

другим, отличным от исполняемого (СОМ, ЕХЕ и ВАТ), Например,

файл может получить расширение DAT (файл данных) или OVL (про-

граммный оверлей). Затем на место ЕХЕ-файла копируется вирусный

код. При запуске такой инфицированной программы управление полу-

чает вирусный код, находящийся в ЕХЕ-файле. Инфицировав еще один

или несколько ЕХЕ-файлов таким же образом, вирус возвращает ориги-

нальному файлу исполняемое расширение (но не ЁХЕ, а СОМ, по-

скольку ЕХЕ-файл с таким именем занят вирусом), после чего испол-

няет его. Когда работа инфицированной программы закончена, ее

запускаемому файлу возвращается расширение неисполняемого. Лече-

ние файлов, зараженных вирусом этого типа, может быть затруднено,

если вирус-спутник шифрует часть или все тело инфицируемого файла,

а перед исполнением его расшифровывает.


Вирусы-спутники сейчас широко распространены - соотношение

companion и parasitic вирусов примерно один к двум.



Содержание раздела