Dateiviren / Linkviren

• Dateiviren infizieren ausführbare Dateien wie COM-, EXE-, SYS- oder DLL-Dateien, indem sie eigenen Code in die Datei integrieren.

• Beim einfachen Overwrite-Verfahren überschreibt der Virus die komplette Originaldatei und ersetzt sie durch seinen eigenen Code.

• Diese Overwrite-Infektion zerstört die ursprüngliche Anwendung vollständig, da sie nach der Infektion nicht mehr ausgeführt werden kann.

• Häufiger verwenden Dateiviren jedoch das Anhängen an das Dateiende, wobei der Schadcode hinter den ursprünglichen Programmteil gesetzt wird.

• Damit der Virus ausgeführt wird, manipuliert er den Einsprungpunkt oder interne Sprungadressen so, dass beim Start der Datei zuerst sein Code abgearbeitet wird.

• Nach Ausführung des Viruscodes springt der Ablauf zur ursprünglichen Einsprungadresse zurück, sodass das eigentliche Programm wie gewohnt startet.

• Dateiviren nutzen diese Technik, um für den Anwender unbemerkt zu bleiben, da das befallene Programm scheinbar normal funktioniert.

• Linkviren verändern hingegen nur interne Verweise oder Funktionsaufrufe innerhalb einer Datei, sodass bestimmte Programmteile auf den Viruscode umgeleitet werden.

• Dadurch können Linkviren erst aktiv werden, wenn die manipulierte Funktion tatsächlich ausgeführt wird, wodurch sie in Programmen lange unentdeckt bleiben können.

• Viele Dateiviren kombinieren mehrere dieser Techniken, um sowohl den Infektionsvorgang zu verschleiern als auch die Entdeckung durch Signatur- oder Verhaltensscanner zu erschweren.