Ugrás a tartalomhoz Lépj a menübe
 


Fájlvírusok

A fájlfertõzõ vírusok olyan programok, amelyek vezérléshez jutva (a fertõzött programok elindítása után) megkeresik a floppykon és merevlemezeken, valamint a hálózati meghajtókon az arra alkalmas programfájlokat és azok kódjához valamilyen módon hozzáfûzik saját programkódjukat. A hozzáfûzés történhet a meglévõ tartalom felülírásával (ilyenkor a fertõzött programfájl mérete nem változik meg) vagy a víruskód hozzáíró jellegû beszúrásával. Ez utóbbi esetben a fertõzött fájl mérete megváltozik (megnõ a víruskódot tartalmazó résszel) és a fájl eredeti programtartalma csak minimálisan sérül. Mindkét esetben a vírus elhelyez a programfájl elején egy ugró utasítást, amely a programindítást követõen a vírusprogramnak adja át a vezérlést. A víruskód végére kerül az az ugróutasítás, amely a program eredeti belépõhelyére ugrik és átadja a gazdaprogramnak a vezérlést.
A víruskód a programfájlon belül több helyre is kerülhet. Az egyik alkalmazott vírustechnika a fertõzött fájl elejéhez fûzi hozzá a víruskódot (például a Péntek 13), egy másik technika a programfájl végén helyezi el a víruskódot, egy harmadik technológia pedig a programfájl belsejében keres egy arra megfelelõ területet. Egy teljesen új technológiát képvisel az a megoldás, ahol a vírus olyan "üres" területet keres a megfertõzésre kiszemelt programfájl belsejében, amelyben kényelmesen elfér a víruskód. Ilyen "üres" területek bizony bõven akadnak a mai nagyméretû programfájlokban, s ha a napi mûködés során az érintett programterület tartalma az eredeti program számára közömbös, akkor az ilyen fertõzés nem csökkenti önmagában a program használhatóságát, annak eredeti funkciói nem sérülnek.
A programfájlok nem egyformák. Más a struktúrája és ez által fertõzhetõsége a .COM kiterjesztésû fájloknak és az .EXE programoknak. A .COM fájlok esetén ráadásul arra is ügyelnie kell a vírusprogramok fejlesztõinek, hogy a DOS csak a 64 KB-nál kisebb COM fájlokat képes futtatni.
A különbözõ programfájlok struktúrájának különbözõsége ahhoz vezetett, hogy a fejlettebb vírusokba olyan feltételrendszereket építettek be, amelyek megakadályozták a vírusokat a vírushordozónak alkalmatlan fájlok megfertõzését. Az intelligensebb programkártevõk a leginkább ellenõrzött operációs rendszer fájlokat (mint a COMMAND.COM) nem fertõzik meg, és elkerülik az antivírus programok önellenõrzõ programjait is.

A Companion vírusok
A fájlvírusok egyik kis létszámú alfaja a Companion, azaz társ-vírusok csoportja. Ezek a klasszikus fájlfertõzõ vírusoktól abban különböznek, hogy egyetlen bájttal sem változtatják meg a megfertõzött programot. Mûködésükhöz a CEB szabályt használják fel (lásd alább!). Jellegzetes képviselõje e programtípusnak a Shadowguard néven nyilvántartott kártevõ.
A companion típusú vírusok a célpontként kiszemelt .EXE programfájlok mellé másolják a víruskódot egy .COM kiterjesztésû fájlba. Amikor pedig a programindítás kerül sorra, elõször a .COM kiterjesztésû, víruskódot tartalmazó programfájl töltõdik be a memóriába, és csak ezután következik az eredeti programfájl indítása.

A CEB szabály
A programfájlok kiterjesztése nem csak a listázások megkönnyítésére szolgál. A DOS alapú, illetve DOS programok futtatására alkalmas rendszerek szembe kerülhetnek olyan esettel is, amikor azonos nevû, de eltérõ kiterjesztésekkel ellátott fájlok vannak a könyvtárakban. A CEB szabály nevét onnan kapta, hogy ha azonos nevû de .COM és .EXE kiterjesztésû fájlokat kell indítani, akkor az operációs rendszer a .COM fájlt indítja, hacsak az indításhoz nem adják meg az indítandó fájl kiterjesztését is. Ha azonos nevû .EXE és .BAT fájlok közül kell választani, akkor az .EXE indul. Összesítve a preferencia sorrend: .Com, .Exe és .Bat, innen tehát a név a szabályra.

Egy FAT fertõzõ vírus: a DIR2-FAT
A fájlfertõzõ vírusok egyedülálló képviselõje a Dir2/FAT néven elhíresült kártevõ. E vírus, társai többségétõl eltérõen és a companion vírusokhoz hasonlóan, nem módosítja egyetlen bájttal sem a megfertõzött fájlokat.
A FAT típusú vírus mindössze egy példányban rakja fel magát a lemezre, annak egy tetszõleges clusterébe. Minden végrehajtható fertõzött fájl kezdõ clusterszámát a katalógusjegyzékben átirányítja magára, a további FAT láncolást kódolja. Ha elindítunk egy fertõzött fájlt, akkor a clusterszám átadása miatt a vírus indul el. Ennek volt köszönhetõ, hogy 1990-ben világszerte az egyik legelterjedtebb vírus a DIR2/FAT volt. Tulajdonképpen a FAT-vírus - elnevezésétõl eltérõen - nem a FAT-et fertõzi meg, hanem a könyvtárbejegyzést. A FAT elnevezés inkább arra utal, hogy a FAT-lánc szervezését használja ki.

Célpontok szerinti csoportosítás
A fájlvírusokat aszerint is osztályozzuk, hogyan válogatják meg célpontjaikat. Vannak .COM fertõzõk, vannak .EXE fertõzõk, vannak olyan DOS vírusok, amelyek egyaránt fertõznek COM és EXE fájlokat. Az .EXE fertõzõk között az utóbbi években kezdenek megjelenni a 32 bites Windows EXE programokat (PE) fertõzõ vírusok, amelyek csak a Windows 9x és/vagy Windows NT/2000 programjait fertõzik.

 

 

Hozzászólások

Hozzászólás megtekintése

Hozzászólások megtekintése

Forum Ou Acheter Du Viagra EllLabs

(Ellphoria, 2019.09.20 04:46)

Viagra Salud Overnight Delivery Viagra Priligy Realmente Funciona <a href=http://buylevi.com>levitra for sale online</a> Propecia Effects Testicular Pain Cialis Viagra Ligne

válasz HEQSSSM kérdésre

(Máté, 2016.06.07 15:29)

Szia! Szerintem bekaptál egy titkosítós vírust. De látni kéne a fájlok belső tartalmát. Ha titkosítós vírus, akkor sok fajtája van, ennek egy része könnyen feldolható, másik része esélytelen.

Féreggeé fertőzött fájlsérülés vissza állítható-e

(Melinda, 2015.11.06 18:15)

Segítséget szeretnék kérni!!
A gépemet megtámadta egy féreg, már újra telepíttettem, de az SD kártyámon tárolt fájlokban olyan változást hozott létre, hogy HEQSSSM fájlra változtatta őket. ezek nagyon fontos képek és dokunentumok - sajnos ideiglenes tárolta a kártyán, tudom el kellett volna mentenem felhőbe...
A kérdésem az, hogy lehet-e ezeket az eredeti állapotukra vfissza állítani??? Ha igen, HOGYAN???
Várom a választ! :)

budapest 14

(alex, 2015.07.21 22:10)

:)

X. Ker, Budpast

(Király Tamás, 2010.04.28 13:07)

fgsdfsdfsd