Aiheesta lisää tietoa F-Securen CIH-sivulta osoitteesta http://www.F-Secure.com/cih/
Tiedostovirus tarttuu seuraavalla tavalla:
Käynnistät aluksi ohjelman, joka sisältää viruksen (ohjelmakoodilla on tarkennin .exe tai .com). Näin viruksen koodi pääsee keskusmuistiin ja jää sinne odottamaan uusien ohjelmien käynnistämistä. Näin tapahtuu, vaikka lopettaisit itse ohjelman käyttämisen. Tällaisia ohjelmia kutsutaan yleensä muistinvaraisiksi ohjelmiksi.
Kun sitten käynnistät uuden ohjelman, aktivoituu viruskoodi muistissa. Ensi töikseen koodi tarkistaa, onko käynnistetty ohjelma jo saastunut. Jos ei ole, virus lisää oman koodinsa ohjelmakoodiin. Nyt tämäkin ohjelma levittää viruksia. Johtuen tästä koodin lisäämisestä, ohjelman koko yleensä muuttuu ja siitä voi myös havaita virustartunnan. (tosin kuka muistaa kiintolevynsä tiedostojen koot ulkoa?) Päiväys ei yleensä muutu tässä operaatiossa, sillä hyvä virusohjelma osaa kiertää päiväyksen muuttamisen tiedostoa muokattaessa.
Koska virus ei yleensä vain leviä, vaan tekee myös jotain, ohjelmaa käynnistettäessä tarkistetaan myös viruksen laukaisuehto. Laukaisuehtona voi olla esimerkiksi päivämäärä (perjantai 13. päivä oli yhteen aikaan varsin suosittu...), kellonaika tai vaikkapa viruskopioiden määrä. Kun tämä ehto täyttyy, suoritetaan viruksen varsinainen koodi, jonka haitallisuus riippuu hyvin paljon viruksesta. Osa viruksista tekee jotain humoristista, osa taas tärvelee tiedostoja.
Esimerkkeinä tiedostoviruksista olkoon Yankee Doodle, Walker, Ambulance sekä CIH. Näistä ensimmäinen soitteli klo 17 nimikkosävelmäänsä. Muista taas on kuvaukset alla:
|
Walker-virus piirsi kävelevän ukkelin kuvaruudulle. Virus kuuluu sarjaan harmittomat virukset. |
|
Ambulanssivirus on toinen hyvin tunnettu tiedostovirus. Siinä ajelee ambulanssi kuvaruutua pitkin ruudun laidasta laitaan. Samalla kuului koneen kaiuttimesta sireenin äänet. Ambulanssi on myös muuten harmiton virus. |
|
CIH taas on kaikkea muuta kuin vaaraton
tiedostovirus. Se nimittäin pyrkii ylikirjoittamaan
tietokoneen BIOS-järjestelmän sisältämän muistin.
BIOS, eli basic input & output system sisältää
tietokoneen käynnistämisen kannalta tärkeät tiedot,
kuten laitteiston kokoonpanon ja ohhjelman, joka lähtee
etsimään käynnistettäessä käyttöjärjestelmää
levyiltä. Jos tämän onnistuu tuhoamaan, on tietokone
täysin käyttökelvoton kunnes joko BIOS-piiri
vaihdetaan tai ohjelmoidaan sopivalla laitteella
uudelleen. Aiheesta lisää tietoa F-Securen CIH-sivulta osoitteesta http://www.F-Secure.com/cih/ |