Structura virusului fișierului.
Virușii de fișiere pot fi implementați numai în fișiere executabile:
1) fișiere batch (fișiere constând din comenzi ale sistemului de operare);
2) fișierele de auto-extragere, programele de utilizator și de sistem în codurile mașinilor, precum și în documentele (tabelele) care au macrocomenzi.
Macroanele sau macro-urile sunt programe executabile pentru automatizarea lucrului cu documente (tabele). Prin urmare, astfel de documente (tabele) pot fi considerate ca fișiere executabile.
Pentru IBM - virus PC compatibil pot fi introduse în următoarele tipuri de fișiere: fișiere de comandă (BAT), drivere descărcabile (SYS), un program în aparat (binare) coduri (EXE, COM), un documente Word (Doc) cu versiunea 6.0 și mai sus, tabelul Excel (XLS). Macro viruși pot fi încorporate în alte fișiere care conțin macro-uri.
Virușii de fișiere pot fi localizați la începutul, mijlocul și sfârșitul fișierului infectat.
Indiferent de localizarea virusului în corpul fișierului infectat, după transferul controlului de fișiere, comenzile de virus sunt executate mai întâi.
La începutul dosarului, virusul este injectat într-una din cele trei căi. Primul este să rescrieți începutul fișierului până la sfârșit, iar virusul este scris în spațiul liber. A doua metodă implică citirea virusului și a fișierului infectat în memoria RAM, îmbinarea acestora într-un fișier și scrierea acestuia în locația fișierului. În a treia metodă de infectare, virusul este scris la începutul fișierului fără salvarea conținutului. În acest caz, fișierul infectat devine inoperabil.
În mijlocul fișierului, virusul poate fi scris și în diverse moduri. Fișierul poate să se "depărteze", iar virusul poate fi scris în spațiul eliberat. Virusul poate fi injectat în mijlocul fișierului fără a salva secțiunea din fișierul unde este localizat virusul. De asemenea, se aplică metoda de comprimare a secțiunilor individuale ale unui fișier, în timp ce lungimea fișierului după introducerea virusului nu se poate schimba.
Cel mai adesea, virusul este injectat în capătul dosarului. Primele comenzi ale fișierului sunt înlocuite de comenzile pentru trecerea la corpul virusului.
Când majoritatea virușilor sunt implementați, algoritmul generalizat poate fi reprezentat în următoarea secvență de pași:
Pasul 1. Virusul rezident verifică dacă este RAM infectat și îl infectează, dacă este necesar. Un virus nerezident caută fișiere neinfectate și le infectează.
Etapa 3. Funcția distructivă a virusului este efectuată dacă sunt îndeplinite condițiile corespunzătoare.
Pasul 4. Se transferă controlul programului din fișierul în care este localizat virusul.
La implementarea anumitor virusuri, compoziția acțiunilor și secvența lor pot fi diferite de cele date în algoritm.