Was ist ein Append-Virus?

Ein Append-Virus oder Appending-Virus ist eine Art von Virus, der das Programm oder die Datei, in die es verpackt ist, nicht zerstört, sondern es einfach genug modifiziert, um den Virus einzudämmen und ihn weiter verbreiten/ausführen zu lassen. Diese Art von Virus ist schwieriger zu erkennen als einer, der das Programm oder die Datei, an die er angehängt ist, dauerhaft zerstört.

Wie funktioniert es?

Append-Viren sind etwas kompliziert, wenn es darum geht, was sie tun – zuerst lokalisiert sie eine Datei auf dem Computer, auf dem sie sich befindet, und stellt sicher, dass sie die genaue Dateigröße der Datei hat. Es macht dann einen Schnappschuss, wie die Datei vor der Infektion aussah, und bewahrt sie für später auf. Im nächsten Schritt prüfen Sie, ob die Datei bereits infiziert ist. Ein Append-Virus kann dies nur selbst überprüfen – wenn eine Datei bereits mit einem anderen Virus infiziert ist, kann der Prozess fehlschlagen oder beeinträchtigt werden.

Nachdem sichergestellt wurde, dass die ausgewählte Datei nicht bereits eine Kopie des angehängten Virus enthält, kopiert sich der Virus bis ans Ende der Programmdatei. Dadurch wird die Datei etwas größer als zuvor, und es würde theoretisch auffallen. An diesem Punkt stellt der Virus die Attribute aus dem Schnappschuss wieder her, um zu verbergen, dass die Datei geändert wurde.

Die infizierten Dateien sind normalerweise ausführbare Dateien wie .bat- oder .exe-Dateien, wenn auch nicht immer. Als letzter Schritt des Infektionsprozesses leitet der anhängende Virus den Einstiegspunkt der Datei um – wenn die Datei also geöffnet wird, statt sie von oben zu starten, lässt der Virus sie zuerst selbst ausführen. Auf diese Weise wird der Virus bei jedem Zugriff auf die Datei im Hintergrund ausgeführt.

Für den Benutzer gibt es möglicherweise nicht einmal einen wahrnehmbaren Unterschied, da der Rest der Datei weiterhin normal funktionieren kann. Die genaue Art des Schadens und der Wirkung, die der Virus hat (über das Kopieren hinaus), hängt von der Absicht des Erstellers ab. Viren können alle möglichen böswilligen Zwecke erfüllen – und angehängte Viren können auch für viele verschiedene Dinge verwendet werden.

Das Virus einfangen

Aufgrund der verdeckten Natur dieser Art von Viren hat Antivirensoftware oft Probleme, sie zu finden. Ein richtig gut geschriebener Append-Virus verschlüsselt sich selbst und versteckt sich. Der Virus selbst ist normalerweise nicht das, wonach die Antivirensoftware sucht – jede Kopie des Virus in jeder Datei, die sie infiziert, sieht etwas anders aus, sodass das Erkennungsprogramm nicht einfach danach suchen kann, wie es es tun würde andere Arten von Viren.

Stattdessen muss das Antivirenprogramm nach dem suchen, was in allen Kopien des Virus identisch ist. Das ist das Entschlüsselungsmodul. Um sich selbst von Datei zu Datei zu verschlüsseln, muss der Virus auch in der Lage sein, sich selbst zu entschlüsseln. Dieser Teil davon bleibt auch über Dateien hinweg unverändert und sieht immer gleich aus. Es ist also dieser Teil, nach dem die Erkennungsprogramme suchen, und das macht es so schwierig, die Viren zu finden.

Je mehr Dateien infiziert sind, desto höher ist die Wahrscheinlichkeit, dass das Programm sie entdeckt. Dies bedeutet, dass frühe Infektionen schwieriger zu finden und zu beheben sind, insbesondere bei gut geschriebenen und neuen Viren. Je länger ein Virus im Umlauf ist, desto einfacher und schneller können Antivirenprogramme ihn finden. Dies gilt natürlich für jeden Virus, ist aber besonders relevant für das Anhängen von Viren.

Entfernen eines angehängten Virus

Da sich der Virus in mehrere Dateien kopiert, muss jede Datei repariert werden, um die Infektion vollständig zu beseitigen. Wenn auch nur eine Datei ausgelassen wird, kann der Virus zurückkommen und Dateien erneut infizieren. Sobald die Infektion gefunden wurde, ist sie, selbst wenn sie nicht vollständig entfernt wurde, wahrscheinlich ein zweites Mal leichter zu entdecken, aber es ist immer noch wichtig, alle infizierten Dateien zu entfernen.

Bei infizierten Programmen kann es am einfachsten sein, sie vollständig zu deinstallieren und neu zu installieren. Dadurch wird sichergestellt, dass Sie wieder mit einer „sauberen“ Kopie der Dateien beginnen. Es ist jedoch möglich, bereits infizierte Programme zu installieren. Dies ist insbesondere bei Raubkopien oder Programmen aus inoffiziellen Quellen ein Risiko. Darüber hinaus ist eine regelmäßige Antiviren-Wartung eine gute Möglichkeit, Infektionen dieser Art zu verhindern und zu erkennen. Ebenso ist es wichtig sicherzustellen, dass das von Ihnen verwendete Antivirenprogramm auf dem neuesten Stand ist. Sie möchten auch die neueste verfügbare Version bekannter Virensignaturen. Dies hilft bei der Identifizierung kürzlich entdeckter Viren – einschließlich Beispielsignaturen dieses Typs.

Hinweis: Wenn Sie es immer noch vorziehen, Dinge zu raubkopieren, gibt es eine Art von Software, die Sie niemals raubkopieren sollten Antivirus-Software. Im Wesentlichen sind alle Raubkopien von Antivirensoftware nicht nur nutzlos, sondern aktiv Malware. Wenn Sie nicht für Antivirensoftware bezahlen möchten, gibt es legitime kostenlose Versionen, die Sie stattdessen verwenden sollten.

Abschluss

Append-Viren haben ihren Namen davon, wie sie Dateien infizieren. Sie hängen sich an das Ende der Datei an und passen dann den Ablauf der Datei so an, dass der Virus zuerst aufgerufen wird. Wie die meisten Viren verwenden moderne Append-Viren Verschlüsselung, um sich vor signaturbasierten Antivirenprogrammen zu verstecken. Dies lässt die heuristische Erkennung und die Erkennung der Entschlüsselungsfunktion als Verfahren zum Auffinden des Virus übrig. Als Virus, der andere Dateien infiziert, können Anhängeviren schwer zu handhaben sein. Eine einzelne übersehene infizierte Datei kann zu einer vollständigen Neuinfektion des Systems führen.