Файлові віруси і їх класифікація

До цієї групи належать віруси, які під час свого розмноження використовують будь-яким способом файлову систему операційної системи До цієї групи належать віруси, які під час свого розмноження використовують будь-яким способом файлову систему операційної системи.

Впровадження такого плану файлового вірусу реально практично в будь-виконувані файли (але є невеликі виключення) всіх популярних на сьогоднішній день ОС. На превеликий жаль, сьогодні відомі віруси, які вражають абсолютно всі типи виконуваних об'єктів традиційної DOS: завантажувані драйвери, драйвери (BAT), і виконувані двійкові файли (розширення .EXE і .COM).

Розроблено вже віруси, що заражають файли, в яких знаходяться вихідні коди програм, об'єктні або бібліотечні модулі. Крім того, можливий запис файлового вірусу і в різні файли даних, але це відбувається або в результаті системної помилки самого вірусу, або при прояві вірусом якихось агресивних властивостей.

За способом зараження файлів цей вид вірусів підрозділяють на паразитичні ( «parasitic»), «overwriting», «link» -віруси, компаньйон-віруси ( «companion»), віруси-черв'яки і віруси, які заражають бібліотеки компіляторів (LIB), об'єктні модулі (OBJ) і вихідні тексти програм.

Під час зараження за методом оverwriting, вірус записує свій програмний код замість коду заражає файли, при цьому повністю знищуючи весь його вміст. Зрозуміло, що при цьому файл стає непрацездатним і відновити його неможливо. Такі віруси можна дуже швидко знайти, так як при їх дії програми та вся операційна система в цілому дуже швидко перестають працювати.

Під час зараження за методом Parasitic, файловий вірус під час поширення своїх копій по комп'ютеру обов'язково змінюють весь вміст заражених файлів, при цьому самі файли залишаються або повністю, або частково працездатними. Але навіть якщо файл працездатний, то частина інформації може бути все одно загублена.

Окремо необхідно розглянути незначну групу вірусів, які характеризуються тим, що не мають «точки входу». До них відносяться віруси, які під час зараження не записують команд передачі управління з додатком в заголовок COM-файлів (JMP) і зовсім не змінюють стандартний адреса точки старту в вихідному заголовку EXE-файлів. Отримують контроль такі віруси під час запуску зараженого файлу, при цьому вони записують команду переходу на вірусний програмний код в середину файлу, ніж роблять набагато складніше їх пошук. Як результат таких дій - вірус може довгі роки не проявляти свою активність і проявити себе тільки за певних обмежених умовах.