|
|
Umnožavanje virusa
Kako bi se virus uspješno umnožio softver domaćina mu mora dozvoliti da izvršava kod i upisuje u memoriju. Zbog toga se mnogi virusi pričvrste na neki koristan program u nadi da će ga korisnici pokrenuti a s njime i virus.
Prije nego što su se računalne mreže proširile, većina se virusa širila prijenosnim medijima, naročito disketama. U ranim danima razvoja osobnih računala mnogi su korisnici izmjenjivali programe i informacije putem disketa. Neki virusi su se širili inficirajući programe na takvim disketama, dok su se ostali instalirali u boot sektor diskete osiguravajući time da će biti pokrenuti prilikom bootanja računala s diskete.
Kad su kasnih 1980-ih i ranih 1990-ih Bulletin Board Systems i Online razmjena softvera postali popularni, sve je više virusa pisano za popularni softver. Shareware i bootleg softver su jednako česti vektori za viruse na BBS-ovima. Kupci koji su željeli nabaviti najnovije aplikacije i igre unutar “piratske scene” za nabavku ilegalnih kopija komercijalnog softvera, postali su laka meta za viruse.
Mnoga osobna računala su danas spojena na Internet ili na lokalne mreže. Današnji virusi iskorištavaju standardne mrežne protokole kao što su World Wide Web, e-mail i file sharing sustave kako bi se širili, brišući crtu između virusa i crva.
Način skrivanja virusa
Kako bi preživjeli, mnogi dobro napisani virusi koriste različite načine zbunjivanja. Neki stariji virusi (osobito u MS-DOSu) mijenjaju informaciju pričvršćenu datotekama koje inficiraju, kao što je datum posljednje promjene ili veličina spremljene datoteke. Antivirusni softver koji samo pretrežuje nedavno mijenjane datoteke ili datoteke kojima je veličina promijenjena, neće zapaziti prisutnost virusa u takvim slučajevima. Važno je primijetiti da mijenajanje informacije o veličini datoteke nije isto kao i stvarno mijenjanje veličine datoteke unutar MS-DOSa. Ovakav pristup ne zavarava moderni antivirusni softver.
Još jedna tehnika skrivanja iz vremena DOS virusa je bila sa se umjesto inficiranja datoteka na tvrdom disku, inficira upravo sam tvrdi disk. Računalo pokreće kod u boot sektoru koji je zamijenjen kodom virusa. Virus se premiješta s tvrdog diska u memoriju, zatim premiješta i originalni boot sektor u memoriju te prenosi kontrolu na kod u njoj. Na taj način čak ni operativni sustav ne zamjećuje prisutnost virusa.
Kako su se računala i operacijski sustavi povećavala i postajala složenija stare tehnike skrivanja su se trebale poboljšati ili zamijeniti. Metode prikrivanja modernih virusa često nastoje iskoristiti nedostatke modernih antivirusnih programa koji nastoje utvrditi prisutnost virusa. Većina modernih antivirusnih programa nastoji otkriti tragove virusa skenirajući obične programe. Ako pronađu bajt-tragove koji odgovaraju specifičnim tragovima nekog virusa, antivirusni program će pokušati ukloniti, staviti u karantenu ili obrisati virus/dadoteku.
Današnji virusi se nastoje enkriptirati kako bi izbjegli detekciju antivirusnih pretraga. To se često čini kombinacijom enkripcije i samomodificirajućeg koda. Virus koji koristi ovu tehniku naziva se polimorfnim virusom.
Obično postoje dva različita dijela polimorfnih virusa: dio za enkripciju/dekripciju i dio koji inficira. Svaki put kada se virus pokrene koristi se drugačiji kriptoključ.