Структура файлового вірусу.
Файлові віруси можуть впроваджуватися тільки в виконувані файли:
1) командні файли (файли, що складаються з команд операційної системи),
2) файла, що саморозпаковується, призначені для користувача і системні програми в машинних кодах, а також в документи (таблиці), що мають макрокоманди.
Дії або макроси представляють собою виконувані програми для автоматизації роботи з документами (таблицями). Тому такі документи (таблиці) можна розглядати як виконуваний файл.
Для IВМ - сумісних ПЕОМ вірус може впроваджуватися в файли наступних типів: командні файли (ВАТ), що завантажуються Драйвери (SYS), програми в машинних (довічних) кодах (ЕХЕ, СОМ), документи Word (DОС) з версії 6.0 і вище, таблиці ЕХСЕL (XLS). Макровіруси можуть впроваджуватися і в інші файли, що містять макроси.
Файлові віруси можуть розміщуватися на початку, середині і наприкінці заражає файли.
Незалежно від місця розташування вірусу в тілі зараженого файлу після передачі управління файлу першими виконуються команди вірусу.
На початок файлу вірус впроваджується одним з трьох способів. Перший з них полягає в переписуванні початку файлу в його кінець, а на місце, що звільнилося записується вірус. Другий спосіб передбачає зчитування вірусу і зараженого файлу в оперативну пам'ять, об'єднання їх в один файл і запис його на місце файлу. При третьому способі зараження вірус записується в початок файлу без збереження вмісту. В цьому випадку заражений файл стає непрацездатним.
В середину файлу вірус може бути записаний також різними способами. Файл може «розсуватися», а в місце, що звільнилося може бути записаний вірус. Вірус може впроваджуватися в середину файлу без збереження ділянки файлу, на місце якого міститься вірус. Також застосовується метод стиснення окремих ділянок файлу, при цьому довжина файлу після впровадження вірусу може не змінитися.
Найчастіше вірус впроваджується в кінець файлу. Перші команди файлу замінюються командами переходу на тіло вірусу.
При реалізації більшості вірусів узагальнений алгоритм може бути представлений у вигляді такої послідовності кроків:
Крок 1. Резидентний вірус перевіряє, чи заражена оперативна пам'ять, і при необхідності заражає її. Нерезидентний вірус шукає незаражені файли і заражає їх.
Крок 3. Здійснюється деструктивна функція вірусу, якщо виконуються відповідні умови.
Крок 4. Передається управління програмою, в файлі якої знаходиться вірус.
При реалізації конкретних вірусів склад дій і їх послідовність можуть відрізнятися від наведених у алгоритмі.