Вирусы, поражающие скрытые системные файлы
🕛 16.03.2009, 13:13
Данная легенда, по-видимому, принадлежит А.А.Чижову. В уже упоминавшейся статье [Чижов88] он пишет:"Вряд ли вирус может внедриться в загрузчик, так как загрузчик должен размещаться в одном секторе диска емкостью 512 байтов. В загрузчике практически нет свободного места.
Другое дело - скрытые файлы ДОС. Вирус может прикрепиться к любому из этих файлов, при этом его дальнейшее поведение может быть различным. Само прикрепление происходит просто - вирус может дописать себя в конец одного из файлов. При запуске каждого из скрытых файлов управление передается на начало файла, в котором стоит команда перехода на инициатор соответствующей части ДОС, вместо которой вирус может поставить переход на свое начало, а после настройки запустить инициатор ДОС. Наиболее действенным может быть прикрепление ко второму скрытому файлу - IBMDOS.COM (MSDOS.SYS), так как, во-первых, в конце первого файла находится конфигуратор системы, обрабатывающий файл CONFIG.SYS, что мешает прикреплению вируса, во-вторых, в момент запуска первого скрытого файла ДОС еще не функционирует. В момент же запуска второго скрытого файла ДОС уже частично функционирует, полностью сформированы драйверы ввода-вывода."
Ю.Н.Основский преподносит эту легенду как факт, имеющий место на начало 1990 г.:
"Поражение скрытых системных файлов приводит к заражению всей операционной системы ЭВМ, а если ЭВМ включена в состав локальной вычислительной сети, то возможен переход вируса на любую другую машину сети, в том числе и на головную.
Правда, обычно заражение скрытых системных файлов довольно легко распознается, так как одна из первых же перезагрузок пораженной операционной системы приводит к срабатыванию вируса и, как правило, к потере информации на носителе (ничего себе легкое распознавание! - Н.Н.Безруков). Отметим, что большинство вирусов, заражающих скрытые системные файлы, относятся к классам вирусов, либо повреждающих системные области дисков, либо форматирующих диски.".
Опыт автора показывает, что в случае поражения скрытых файлов обычными файловыми вирусами (резидентные вирусы, заражающие файлы при открытии, заражают указанные системные файлы при их копировании) операционная система становится неработоспособной. Специальных вирусов, рассчитанных именно на заражение скрытых файлов, в настоящее время не существует (возможно, потому, что слишком мала инфицирующая способность такого вируса - меньше чем у бутового). Это, конечно, не исключает возможность использования этого метода в комбинации с другими, как, например, произошло с методом заражения COMMAND.COM, использованного вирусом RC-0-346(Lеhigh).