ไวรัสผนวกคืออะไร?

Append Virus หรือ Appending Virus เป็นไวรัสประเภทหนึ่งที่ไม่ทำลายโปรแกรมหรือไฟล์ที่ห่อหุ้มไว้ แต่เพียงแค่ปรับเปลี่ยนไวรัสให้เพียงพอที่จะกักไวรัสไว้ และปล่อยให้แพร่กระจาย/ดำเนินการต่อไป ไวรัสประเภทนี้ตรวจพบได้ยากกว่าไวรัสที่ทำลายโปรแกรมหรือไฟล์ที่แนบอย่างถาวร

มันทำงานอย่างไร?

ไวรัส Append นั้นค่อนข้างซับซ้อนเมื่อพูดถึงสิ่งที่พวกเขาทำ ขั้นแรก มันจะค้นหาตำแหน่งไฟล์ในเครื่องใดก็ตามที่เปิดอยู่ และตรวจสอบให้แน่ใจว่ามีขนาดไฟล์ที่แน่นอนของไฟล์นั้น จากนั้นจะจับภาพลักษณะของไฟล์ก่อนการติดไวรัสและเก็บไว้ในภายหลัง ขั้นตอนต่อไปคือการตรวจสอบว่าไฟล์ติดไวรัสหรือไม่ ไวรัส append สามารถตรวจสอบตัวเองได้เฉพาะในกรณีดังกล่าวเท่านั้น – หากไฟล์ติดไวรัสชนิดอื่นอยู่แล้ว กระบวนการอาจล้มเหลวหรือได้รับผลกระทบ

หลังจากตรวจสอบให้แน่ใจว่าไฟล์ที่เลือกไม่มีสำเนาของไวรัสต่อท้ายอยู่ในนั้น ไวรัสจะคัดลอกตัวเองไปยังส่วนท้ายสุดของไฟล์โปรแกรม สิ่งนี้จะทำให้ไฟล์มีขนาดใหญ่ขึ้นกว่าเดิมเล็กน้อย และในทางทฤษฎีแล้ว มันจะสังเกตเห็นได้ชัดเจน ณ จุดนี้ ไวรัสจะกู้คืนแอตทริบิวต์จากสแน็ปช็อตที่ถ่าย เพื่อซ่อนไม่ให้ไฟล์ถูกแก้ไข

ไฟล์ที่ติดไวรัสมักเป็นไฟล์เรียกทำงาน เช่น ไฟล์ .bat หรือ .exe แต่ไม่เสมอไป เป็นขั้นตอนสุดท้ายของกระบวนการติดไวรัส ไวรัสที่ต่อท้ายจะเปลี่ยนเส้นทางไปยังจุดเข้าของไฟล์ ดังนั้นเมื่อเปิดไฟล์ แทนที่จะเรียกใช้จากด้านบน ไวรัสจะทำให้มันทำงานก่อน ด้วยวิธีนี้ ไวรัสจะถูกดำเนินการในเบื้องหลังทุกครั้งที่มีการเข้าถึงไฟล์

สำหรับผู้ใช้อาจไม่เห็นความแตกต่างที่สังเกตได้ เนื่องจากไฟล์ที่เหลือยังคงทำงานได้ตามปกติ อันตรายและผลกระทบที่แม่นยำของไวรัส (นอกเหนือจากการคัดลอกตัวเอง) ขึ้นอยู่กับเจตนาของผู้สร้าง ไวรัสสามารถบรรลุวัตถุประสงค์ที่เป็นอันตรายได้ทุกประเภท และไวรัสต่อท้ายยังสามารถใช้กับหลายสิ่งหลายอย่างได้เช่นกัน

จับไวรัส

เนื่องจากธรรมชาติที่แอบแฝงของไวรัสประเภทนี้ ซอฟต์แวร์ป้องกันไวรัสจึงมักมีปัญหาในการค้นหาไวรัสเหล่านี้ ไวรัส append ที่ถูกเขียนอย่างดีจะเข้ารหัสตัวเองและซ่อน ไวรัสเองมักจะไม่ใช่สิ่งที่ซอฟต์แวร์ป้องกันไวรัสจะมองหาด้วยซ้ำ – แต่ละสำเนาของไวรัสในแต่ละไฟล์ที่ไวรัสเข้าไปจะมีลักษณะแตกต่างกันเล็กน้อย ดังนั้นโปรแกรมตรวจจับจึงไม่สามารถค้นหาไวรัสได้เหมือนที่ทำกับ ไวรัสประเภทอื่น

แต่โปรแกรมป้องกันไวรัสจะต้องมองหาสิ่งที่เหมือนกันในสำเนาทั้งหมดของไวรัส นั่นคือโมดูลถอดรหัส ในการเข้ารหัสตัวเองจากไฟล์หนึ่งไปยังอีกไฟล์หนึ่ง ไวรัสจำเป็นต้องสามารถถอดรหัสตัวเองได้ ส่วนนั้นยังคงไม่เปลี่ยนแปลงแม้ในไฟล์ต่างๆ และจะดูเหมือนเดิมเสมอ ดังนั้น มันคือส่วนที่โปรแกรมตรวจจับมองหา และเป็นสิ่งที่ทำให้การค้นหาไวรัสเป็นเรื่องยากมาก

ยิ่งมีไฟล์ติดไวรัสมากเท่าไหร่ โอกาสที่โปรแกรมจะตรวจพบก็ยิ่งสูงขึ้นเท่านั้น ซึ่งหมายความว่าการติดไวรัสตั้งแต่เนิ่นๆ นั้นยากต่อการค้นหาและแก้ไข โดยเฉพาะอย่างยิ่งสำหรับไวรัสที่เขียนอย่างดีและไวรัสใหม่ๆ ยิ่งมีการแพร่ระบาดของไวรัสนานเท่าใด โปรแกรมป้องกันไวรัสก็จะสามารถค้นพบไวรัสได้ง่ายและรวดเร็วขึ้นเท่านั้น สิ่งนี้เป็นจริงสำหรับไวรัสทุกชนิด แต่มีความเกี่ยวข้องอย่างยิ่งกับไวรัสที่ต่อท้าย

การลบไวรัสต่อท้าย

เนื่องจากไวรัสคัดลอกตัวเองเป็นไฟล์หลายไฟล์ แต่ละไฟล์จำเป็นต้องได้รับการซ่อมแซมเพื่อกำจัดการติดไวรัสให้หมดไป หากพลาดแม้แต่ไฟล์เดียว ไวรัสสามารถกลับมาติดไวรัสซ้ำอีกครั้งได้ เมื่อพบการติดไวรัสแล้ว แม้ว่ามันจะไม่ถูกลบออกทั้งหมด ก็น่าจะง่ายกว่าที่จะค้นพบเป็นครั้งที่สอง แต่ยังคงสำคัญที่จะต้องกำจัดไฟล์ที่ติดไวรัสทั้งหมด

ในกรณีของโปรแกรมที่ติดไวรัส การถอนการติดตั้งและติดตั้งใหม่ทั้งหมดอาจทำได้ง่ายที่สุด สิ่งนี้ทำให้แน่ใจว่าคุณเริ่มต้นด้วยสำเนาของไฟล์ที่ 'สะอาด' อีกครั้ง อย่างไรก็ตาม เป็นไปได้ที่จะติดตั้งโปรแกรมที่ติดไวรัสแล้ว นี่เป็นความเสี่ยงอย่างยิ่งในกรณีของโปรแกรมละเมิดลิขสิทธิ์หรือที่มาจากแหล่งที่ไม่เป็นทางการ นอกเหนือจากนั้น การบำรุงรักษาโปรแกรมป้องกันไวรัสอย่างสม่ำเสมอเป็นวิธีที่ดีในการป้องกันและระบุการติดไวรัสประเภทนี้ ในทำนองเดียวกัน สิ่งสำคัญคือต้องแน่ใจว่าโปรแกรมป้องกันไวรัสที่คุณใช้นั้นเป็นเวอร์ชันล่าสุด นอกจากนี้คุณยังต้องการลายเซ็นไวรัสที่รู้จักเวอร์ชันล่าสุด ซึ่งจะช่วยระบุไวรัสที่เพิ่งค้นพบ รวมถึงตัวอย่างลายเซ็นประเภทนี้

หมายเหตุ: หากคุณยังคงต้องการละเมิดลิขสิทธิ์ มีซอฟต์แวร์ประเภทหนึ่งที่คุณไม่ควรละเมิดลิขสิทธิ์ซอฟต์แวร์ป้องกันไวรัส โดยพื้นฐานแล้วซอฟต์แวร์ป้องกันไวรัสเวอร์ชันละเมิดลิขสิทธิ์ทั้งหมดไม่เพียงไร้ประโยชน์เท่านั้น แต่ยังเป็นมัลแวร์อีกด้วย หากคุณไม่ต้องการจ่ายค่าซอฟต์แวร์ป้องกันไวรัส มีเวอร์ชันฟรีที่ถูกกฎหมายที่คุณควรใช้แทน

บทสรุป

ไวรัสผนวกใช้ชื่อของพวกเขาจากการแพร่ระบาดของไฟล์ พวกเขาต่อท้ายตัวเองที่ส่วนท้ายของไฟล์แล้วปรับวิธีการทำงานของไฟล์เพื่อให้เรียกไวรัสก่อน เช่นเดียวกับไวรัสส่วนใหญ่ ไวรัสผนวกสมัยใหม่ใช้การเข้ารหัสเพื่อซ่อนจากโปรแกรมป้องกันไวรัสที่ใช้ลายเซ็น ซึ่งจะทำให้การตรวจจับฮิวริสติกและการตรวจจับฟังก์ชันการถอดรหัสเป็นวิธีการค้นหาไวรัส ในฐานะที่เป็นไวรัสที่แพร่ระบาดในไฟล์อื่นๆ ไวรัสผนวกอาจเป็นเรื่องยากที่จะจัดการ ไฟล์ติดไวรัสที่พลาดไปเพียงไฟล์เดียวอาจนำไปสู่การติดไวรัสซ้ำทั้งระบบ