什么是附加病毒?

Append Virus 或 Appending Virus 是一种病毒,它不会破坏包裹它的程序或文件,而只是对其进行足够的修改以包含病毒并让它继续传播/执行。 这种类型的病毒比永久性破坏它所附加的程序或文件的病毒更难检测。

它是怎样工作的?

Append 病毒的作用有些复杂——首先,它会在任何机器上定位一个文件,并确保它具有该文件的确切文件大小。 然后它会拍下文件在感染前的样子,并保留下来以备后用。 下一步是检查文件是否已被感染。 附加病毒只能在遇到这种情况时进行自我检查——如果文件碰巧已经被另一种病毒感染,则该过程可能会失败或受到影响。

在确保所选文件中没有附加病毒的副本后,病毒会将自身复制到程序文件的最后。 这将使文件比以前稍大,理论上,它会很明显。 此时,病毒会从它拍摄的快照中恢复属性,以隐藏文件已被修改的情况。

受感染的文件通常是可执行文件,例如 .bat 或 .exe 文件,但并非总是如此。 作为感染过程的最后一步,附加病毒将重定向文件的入口点——因此当文件被打开时,病毒不会从顶部运行,而是先执行它自己。 这样,每次访问文件时,病毒都会在后台执行。

对于用户来说,甚至可能没有明显的区别,因为文件的其余部分仍然可以正常运行。 病毒所具有的确切危害和影响(除了复制自身之外)取决于创建者的意图。 病毒可以完成各种恶意目的——附加病毒也可以用于许多不同的事情。

感染病毒

由于此类病毒的隐蔽性,防病毒软件通常很难发现它们。 编写得当的附加病毒会自我加密并隐藏起来。 病毒本身通常不是反病毒软件甚至会寻找的东西——它感染的每个文件中的每个病毒副本看起来都略有不同,因此检测程序不能像它会做的那样简单地搜索它其他类型的病毒。

相反,反病毒程序必须在病毒的所有副本中寻找相同的东西。 那就是解密模块。 为了从一个文件到另一个文件加密自己,病毒还需要能够解密自己。 它的那部分即使在文件中也保持不变,并且看起来总是一样的。 所以,这就是检测程序要寻找的部分,这也是发现病毒如此困难的原因。

被感染的文件越多,被程序检测到的几率就越高。 这意味着早期感染更难发现和修复,特别是对于编写良好的新病毒。 病毒传播的时间越长,反病毒程序就越容易和更快地找到它。 当然,这对任何病毒都是正确的,但它与附加病毒特别相关。

删除附加病毒

由于病毒将自身复制到多个文件中,因此需要修复每个文件才能完全摆脱感染。 即使丢失了一个文件,病毒也可能卷土重来并再次感染文件。 一旦发现感染,即使没有完全删除,第二次发现也很容易,但删除所有受感染的文件仍然很重要。

对于受感染的程序,最简单的方法是完全卸载并重新安装它们。 这确保您再次从文件的“干净”副本开始。 但是,可以安装已被感染的程序。 对于盗版程序或来自非官方来源的程序,这尤其是一个风险。 除此之外,保持定期的反病毒维护是预防和识别此类感染的好方法。 同样,确保您使用的任何防病毒程序都是最新的也很重要。 您还需要已知病毒签名的最新可用版本。 这有助于识别最近发现的病毒——包括 example 这种类型的签名。

注意:如果您仍然喜欢盗版,有一种软件您永远不应该盗版防病毒软件。 基本上所有盗版的防病毒软件不仅无用而且是活跃的恶意软件。 如果您不想为防病毒软件付费,您应该使用合法的免费版本。

结论

附加病毒的名字来源于它们感染文件的方式。 它们将自己附加到文件的末尾,然后调整文件的运行方式,以便首先调用病毒。 与大多数病毒一样,现代附加病毒使用加密来躲避基于签名的防病毒软件。 这使得启发式检测和解密功能检测成为发现病毒的方法。 作为一种感染其他文件的病毒,附加病毒可能很难对付。 单个遗漏的受感染文件可能会导致整个系统重新感染。