Wat is een append-virus?

Een append-virus of appending-virus is een type virus dat het programma of bestand waarin het is verpakt niet vernietigt, maar het eenvoudig voldoende aanpast om het virus te bevatten en het te laten blijven verspreiden/uitvoeren. Dit type virus is moeilijker te detecteren dan een virus dat het programma of bestand waaraan het is gekoppeld permanent vernietigt.

Hoe werkt het?

Append-virussen zijn enigszins gecompliceerd als het gaat om wat ze doen - ten eerste lokaliseert het een bestand op de computer waarop het zich bevindt en zorgt het ervoor dat het de exacte bestandsgrootte van het bestand heeft. Vervolgens maakt het een momentopname van hoe het bestand eruit zag vóór de infectie en bewaart het voor later. De volgende stap is om te controleren of het bestand al is geïnfecteerd. Een append-virus kan alleen zichzelf controleren als het erop aankomt - als een bestand al is geïnfecteerd door een ander soort virus, kan het proces mislukken of worden beïnvloed.

Nadat u zich ervan heeft vergewist dat het gekozen bestand nog geen kopie van het append-virus bevat, kopieert het virus zichzelf naar het einde van het programmabestand. Hierdoor wordt het bestand iets groter dan voorheen en zou het in theorie merkbaar zijn. Op dit punt herstelt het virus de kenmerken van de momentopname die het heeft gemaakt, om te verbergen dat het bestand is gewijzigd.

De geïnfecteerde bestanden zijn meestal uitvoerbare bestanden zoals .bat- of .exe-bestanden, maar niet altijd. Als laatste stap van het infectieproces zal het toegevoegde virus het ingangspunt van het bestand omleiden – dus wanneer het bestand wordt geopend, in plaats van van bovenaf te lopen, zorgt het virus ervoor dat het zichzelf eerst uitvoert. Op die manier wordt het virus op de achtergrond uitgevoerd telkens wanneer het bestand wordt geopend.

Voor de gebruiker is er misschien niet eens een merkbaar verschil, omdat de rest van het bestand nog steeds normaal kan functioneren. De precieze aard van de schade en het effect dat het virus heeft (naast het kopiëren van zichzelf) hangt af van de bedoeling van de maker. Virussen kunnen allerlei kwaadaardige doelen bereiken - en toegevoegde virussen kunnen ook voor veel verschillende dingen worden gebruikt.

Het virus vangen

Vanwege de geheime aard van dit type virus, heeft antivirussoftware vaak moeite om ze te vinden. Een goed geschreven append-virus zal zichzelf versleutelen en verbergen. Het virus zelf is meestal niet waar de antivirussoftware naar zoekt - elke kopie van het virus in elk bestand dat het infecteert, ziet er iets anders uit, dus het detectieprogramma kan er niet eenvoudig naar zoeken zoals het zou doen met andere soorten virussen.

In plaats daarvan moet het antivirusprogramma zoeken naar het enige dat identiek is in alle kopieën van het virus. Dat is de decoderingsmodule. Om zichzelf van bestand naar bestand te versleutelen, moet het virus zichzelf ook kunnen ontsleutelen. Dat deel ervan blijft ongewijzigd, zelfs tussen bestanden, en zal er altijd hetzelfde uitzien. Het is dus dat deel waar de detectieprogramma's naar zoeken, en dat maakt het vinden van de virussen zo moeilijk.

Hoe meer bestanden er worden geïnfecteerd, hoe groter de kans dat het door het programma wordt gedetecteerd. Dit betekent dat vroege infecties moeilijker te vinden en op te lossen zijn, vooral voor goed geschreven en nieuwe virussen. Hoe langer een virus in omloop is, hoe gemakkelijker en sneller antivirusprogramma's het kunnen vinden. Dit geldt natuurlijk voor elk virus, maar het is vooral relevant voor het toevoegen van virussen.

Een append-virus verwijderen

Aangezien het virus zichzelf in meerdere bestanden kopieert, moet elk bestand worden gerepareerd om de infectie volledig te verwijderen. Als er ook maar één bestand wordt gemist, kan het virus terugkomen en bestanden opnieuw infecteren. Als de infectie eenmaal is gevonden, zelfs als deze niet volledig is verwijderd, zal deze waarschijnlijk gemakkelijker een tweede keer worden ontdekt, maar het is nog steeds belangrijk om alle geïnfecteerde bestanden te verwijderen.

In het geval van geïnfecteerde programma's kan het het gemakkelijkst zijn om ze volledig te verwijderen en opnieuw te installeren. Dit zorgt ervoor dat je weer begint met een 'schone' kopie van de bestanden. Het is echter mogelijk om programma's te installeren die al geïnfecteerd zijn. Dit is met name een risico in het geval van illegale programma's of programma's van niet-officiële bronnen. Daarnaast is regelmatig antivirusonderhoud een goede manier om dit soort infecties te voorkomen en te identificeren. Evenzo is het belangrijk om ervoor te zorgen dat welk antivirusprogramma u ook gebruikt, up-to-date is. U wilt ook de meest recent beschikbare versie van bekende virushandtekeningen. Dit helpt bij het identificeren van recent ontdekte virussen, inclusief voorbeeldhandtekeningen van dit type.

Opmerking: als u nog steeds liever dingen piraat, is er één type software dat u nooit antivirussoftware mag kopiëren. In wezen zijn alle illegale versies van antivirussoftware niet alleen nutteloos, maar ook actief malware. Als u niet wilt betalen voor antivirussoftware, zijn er legitieme gratis versies die u kunt gebruiken.

Conclusie

Append-virussen ontlenen hun naam aan de manier waarop ze bestanden infecteren. Ze voegen zichzelf toe aan het einde van het bestand en passen vervolgens de werking van het bestand aan zodat het virus als eerste wordt aangeroepen. Zoals de meeste virussen gebruiken moderne add-virussen codering om zich te verbergen voor op handtekeningen gebaseerde antivirusprogramma's. Dit laat heuristische detectie en detectie van de decoderingsfunctie over als methoden om het virus te vinden. Als een virus dat andere bestanden infecteert, kunnen append-virussen moeilijk zijn om mee om te gaan. Een enkel gemist geïnfecteerd bestand kan leiden tot een volledige herinfectie van het systeem.