V. Các đặc điểm của F-VIRUS
1.Kỹ thuật lây lan:
Các F-virus chủ yếu sử dụng hai kỹ thuật: Thêm vào đầu và thêm vào cuối
a. Thêm vào đầu file.
Thông th−ờng, ph−ơng pháp này chỉ áp dụng cho các file .COM, tức là đầu vào của ch−ơng trình luôn luôn tại PSP:100h. Lợi dụng đầu vào cố định, virus chèn đoạn mã của ch−ơng trình virus vào đầu ch−ơng trình đối
t−ợng, đẩy toàn bộ ch−ơng trình đối t−ợng xuống phía d−ới. Cách này có một nh−ợc điểm là do đầu vào cố định của ch−ơng trình .COM là PSP:100, cho nên tr−ớc khi trả lại quyền điều khiển cho ch−ơng trình, phải đẩy lại toàn bộ ch−ơng trình lên bắt đầu từ offset 100h. Cách lây này gây khó khăn cho những ng−ời khôi phục vì phải đọc toàn bộ file vào vùng nhớ rồi mới tiến hành ghi lại.
b. Thêm vào cuối file.
Khác với cách lây lan ở trên, trong ph−ơng pháp này, đoạn mã của virus sẽ đ−ợc gắn vào sau của ch−ơng trình đối t−ợng. Ph−ơng pháp này đ−ợc thấy trên hầu hết các loại virus vì phạm vi lây lan của nó rộng rãi hơn ph−ơng pháp trên.
Do thân của virus không nằm đúng đầu vào của ch−ơng trình, cho nên để chiếm quyền điều khiển, phải thực hiện kỹ thuật sau đây:
- Đối với file .COM: Thay các byte đầu tiên của ch−ơng trình (đầu vào) bằng một lệnh nhảy JMP, chuyển điều khiển đến đoạn mã của virus.
E9 xx xx JMP Entry virus.
- Đối với file .EXE: Chỉ cần định vị lại hệ thống các thanh ghi SS, SP, CS, IP trong Exe Header để trao quyền điều khiển cho phần mã virus.
Ngoài hai kỹ thuật lây lan chủ yếu trên, có một số ít các virus sử dụng một số các kỹ thuật đặc biệt khác nh− mã hoá phần mã của ch−ơng trình virus tr−ớc khi ghép chúng vào file để ngụy trang, hoặc thậm chí thay thế một số đoạn mã ngắn trong file đối t−ợng bằng các đoạn mã của virus, gây khó khăn cho quá trình khôi phục.
Khi tiến hành lây lan trên file, đối với các file đ−ợc đặt các thuộc tính Sys (hệ thống), Read Only (chỉ đọc), Hidden (ẩn), phải tiến hành đổi lại các thuộc tính đó để có thể truy nhập, ngoài ra việc truy nhập cũng thay đổi lại ngày giờ cập nhật của file, vì thế hầu hết các virus đều l−u lại thuộc tính, ngày giờ cập nhật của file để sau khi lây nhiễm sẽ trả lại y nguyên thuộc tính và ngày giờ cập nhật ban đầu của nó.
Ngoài ra, việc cố gắng ghi lên đĩa mềm có dán nhãn bảo vệ cũng tạo ra dòng thông báo lỗi của DOS: Retry - Aboart - Ignore?, nếu không xử lý tốt thì dễ bị ng−ời sử dụng phát hiện ra sự có mặt của virus. Lỗi kiểu này đ−ợc DOS kiểm soát bằng ngắt 24h, cho nên các virus muốn tránh các thông báo kiểu này của DOS khi tiến hành lây lan phải thay ngắt 24h của DOS tr−ớc khi tiến hành lây lan rồi sau đó hoàn trả.