ZjiÜt∞nφ p°φtomnosti viru v souboru

Podobn∞ jako v p°φpad∞ vφcenßsobnΘ instalaci v pam∞ti pot°ebuje virus vy°eÜit stejn² problΘm i p°i infikaci souboru. K odstran∞nφ mo₧nosti vφcenßsobnΘho zavirovßnφ programu stejn²m virem vyu₧φvajφcφ viry pro rozhodnutφ, zda dan² soubor ji₧ je Φi nenφ jeho t∞lem infikovßn, n∞kterou z nßsledujφcφch mo₧nostφ:

  • IdentifikaΦnφ °etezec
    TradiΦnφ podpisovß metoda. Virus ve svΘm t∞le obsahuje na definovanΘm mφst∞ definovan² °etezec znak∙, kter² slou₧φ k detekci jeho p°φtomnosti. Jak ji₧ bylo v²Üe uvedeno v souvislosti s detekcφ vir∙, nap°. virus Pojer pro svoji identifikaci pou₧φvß °et∞zec "XmY?!&" ulo₧en² 12 bajt∙ p°ed koncem souboru.

  • KonkrΘtnφ nebo nesmysln² Φas souboru
    Metoda vyu₧φvajφcφ zejmΘna mo₧nosti nastavenφ Φasu souboru na nesmysln² ·daj. Virus Vienna nastavuje polo₧ku sekund Φasu na hodnotu 62.
    Existujφ i r∙znΘ odvozeniny vyu₧φvajφcφ konkrΘtnφ Φas souboru. P°φkladem je virus Datacrime, kter² poslednφ t°i bity ·daje sekund Φasu nastavuje na stejnou hodnotu podle poslednφch t°φ bit∙ minut.

  • NesmyslnΘ datum souboru
    Jde o nastavenφ data mimo logick² rozsah. Virus Tremor nastavuje rok souboru zv∞tÜen² o 100.

  • Kombinace data a Φasu souboru
    Komplikovan∞jÜφ zp∙sob indikace p°φtomnosti viru, kter² se sna₧φ zamezit nahodil²m shodßm. Nap°. virus OneHalf m∞nφ datum a Φas souboru podle vzorce (datum mod 1eh)=(Φas and 1fh).
    Nev²hodou vÜech indikacφ pomocφ data a Φasu souboru je jejich nefunkΦnost v p°φpad∞ vφcenßsobnΘho zavirovßnφ programu n∞kolika r∙zn²mi viry, vyu₧φvajφcφmi tuto techniku. Tento problΘm mß vÜak daleko obecn∞jÜφ podstatu (viz. obr. 37). Mßlokdy dokß₧e virus A odolat programu, kter² byl pozd∞ji zavirovßn virem B. Viry toti₧ nevyhledßvajφ svΘ identifikaΦnφ °et∞zce v celΘm t∞le programu, ale na p°esn∞ definovanΘm mφst∞, co₧ v uvedenΘm p°φpad∞ znamenß, ₧e aktivnφ virus A bude hledat sv∙j identifikaΦnφ °et∞zec v t∞le viru B; tam jej nenalezne a op∞tovn∞ zaviruje program sv²m t∞lem.
    Od problΘmu vφcenßsobnΘho zavirovßnφ jsou oproÜt∞ny souborovΘ viry p°episujφcφ i duplicitnφ (doprovodnΘ). P°episujφcφ viry p°episujφ t∞lo infikovanΘho programu a viry duplicitnφ vytvß°φ naprosto odd∞len² soubor. Obojφ neprodlu₧uje dΘlku infikovanΘho programu, a proto zde vφcenßsobnΘ zavirovßnφ nehrozφ.

  • DΘlka souboru
    NetradiΦnφ zp∙sob indikace p°φtomnosti viru. Virus Anthrax zarovnßvß velikost souboru na hodnotu d∞litelnou 16. Pochopiteln∞, ₧e °ada soubor∙, jejich₧ nezavirovanß velikost spl≥uje uvedenou podmφnku, nebude virem Anthrax nikdy napadena.

  • IdentifikaΦnφ instrukce
    Zajφmavß mo₧nost vyu₧φvajφcφ p°episu prvnφ instrukce Φi n∞kolika prvnφch instrukcφ na instrukce identifikaΦnφ, tj. na instrukce jejich₧ v²skyt je v ·vodu programu nepravd∞podobn² a kter² charakterizuje p°φtomnost viru. M∙₧e jφt nap°. o sled nop (90h) instrukcφ, Φi jako v p°φpad∞ viru Seventh Son o instrukci dec BP (4dh). Ka₧dopßdn∞ v₧dy se jednß o instrukce nev²znamnΘ pro vlastnφ b∞h programu.

  • P°φznaky v hlaviΦce EXE soubor∙
    N∞kterΘ infektory EXE soubor∙ pou₧φvajφ rozliΦnΘ variace p°φznak∙ vybran²ch polo₧ek EXE hlaviΦky (headeru): Test polo₧ky kontrolnφho souΦtu na konkrΘtnφ hodnotu (virus SysLock testuje na hodnout 7cb6h). Nestandardnφ signatura EXE souboru (virus Fingers uklßdß mφsto systΘmovΘ hodnoty 'MZ' hodnotu 'TM'). Definovanß poΦßteΦnφ hodnota registru IP (virus Peach testuje IP na hodnotu 01fch). Kombinovan² p°φznak (pro virus Invol je p°φznakem infikace spln∞nφ podmφnky SS - SP = 5ch; virus Loren testuje, zda pro hodnotu kontrolnφho souΦtu platφ: ChkSum = CS + IP + 01b3h).
    Virus Mabuhay testuje, zda vstupnφ bod programu obsahuje stejn² k≤d jako t∞lo viru.

    VÜechny uvedenΘ metody jsou pouze p°φklady virov²ch mechanism∙, ne nßvod k identifikaci p°φtomnosti vir∙. V p°φpad∞, ₧e virus je aktivnφ v pam∞ti, u₧ivatel nemusφ, vzhledem k mo₧nΘ stealth povaze viru, v²Üe uvedenΘ symptomy zjistit.


    Zdroj: Computer Press, ???