Файловые вирусы. 
Антивирусные программы

С первых дней существования персональных компьютеров и по настоящее время для хранения информации любого типа используются файлы.

Именно файлы стали объектом атаки самых первых компьютерных вирусов. Современные вирусы также атакуют файлы, внедряя в них свой вредоносный программный код.

Определение файлового вируса содержит описание механизма прикрепления вируса к телу файла:

Файловый вирус — это вирус, записывающий свой код в тело программного файла или офисного документа (документа, содержащего макрокоманды и созданного такой программой, как Microsoft Office или аналогичной).

При этом во время запуска программы (или загрузке офисного документа для редактирования) вирус получает управление получив управление, файловый вирус может записать свое тело во все другие файлы, хранящиеся на диске компьютера.

Заражая файл, вирус записывает свой код внутрь выполняемого файла и изменяет его таким образом, чтобы после запуска файла управление получил код вируса (рис. 1₁).

Рис. 1-1. Внедрение вируса в файл

Вирус может записать свой код в конец, начало или середину файла. Вирус также может поместить несколько фрагментов своего кода в разных местах зараженной программы.

После внедрения в файл вирус выполняет другие вредоносные действия: заражает другие файлы, устанавливает в памяти собственные резидентные модули и пр. Затем вирус, как правило, передает управление зараженной программе и далее она исполняется как обычно.

В качестве примера на рис. 1−2 мы показали исходное содержимое программного файла mouse.com, а на рис. 1−2 — содержимое того же файла, но зараженного очень известного в прошлом опасным вирусом OneHalf.

Рис. 1-3. Вирус OneHalf в файле mouse.com

К файловым вирусам можно отнести и так называемые вирусы-спутники.

Как известно, в ОС MS-DOS и Microsoft Windows существуют три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы, имеющие расширение имени файла BAT, а также исполнимые файлы с расширениями COM и EXE.

В одном каталоге могут одновременно находиться несколько выполнимых файлов, имеющих одинаковое имя, но разное расширение имени. Например, в каталоге ОС MS-DOS записаны файлы MSD.COM и MSD.EXE. Вы можете создать в этом же каталоге командный файл MSD.BAT.

Когда пользователь желает выполнить программу и вводит ее имя в системном приглашении операционной системы, то он обычно не указывает расширение файла. Какой же файл будет выполнен?

Оказывается, в этом случае операционная система будет выполнять файл, имеющий расширение COM. Если в текущем каталоге или в каталогах, указанных в переменной среды PATH, существуют только файлы с расширением EXE и BAT, то выполняться будет файл с расширением EXE.

Когда вирус-спутник заражает файл, имеющий расширение EXE или BAT, он создает в этом же каталоге еще один файл с таким же именем и расширением COM. Вирус записывает себя в этот COM-файл.