• Home
• Soorten virussen
• Geschiedenis
• Verspreiding
• Bescherming
• Quiz
• Feedback

Printvriendelijke versie

Soorten virussen

Er zijn heel wat verschillende soorten computervirussen.
Hieronder proberen wij u een zo compleet mogelijk overzicht te geven van de werking van de verschillende soorten.

Bestandsvirus

Bestandsvirussen zijn de meest gekende en meest verspreide soort computervirussen.
Deze soort computervirussen infecteren uitvoerbare bestanden (=gastheerbestand).
Uitvoerbare bestanden kunt u herkennen aan de extensies .EXE, .COM, .DLL, .SYS, .DRV, .BIN, .OVL, .OVY, .UUE, SCR.

Zodra een besmet bestand gestart wordt, wordt het virus actief.
Er zijn een zestal verschillende technieken die een bestandsvirus gebruikt om andere bestanden te besmetten:

• Companion-bestandsvirussen:
  
  
  
  Een companion-bestandsvirus wijzigt het gastheerbestand niet. Het zorgt ervoor dat het virus door het besturingssysteem uitgevoerd wordt in plaats van het gastheerbestand. Dit kan op verschillende manieren:
  Het gastheerbestand kan hernoemd worden naar een andere bestandsnaam en het virus neemt de bestandsnaam van het originele bestand aan.
  Een tweede mogelijkheid is dat het virus in dezelfde map als het .EXE-bestand een .COM-bestand aanmaakt met dezelfde naam. In het .COM-bestand zit de viruscode. Als vanuit DOS een programma wordt gestart zonder de extensie erbij te vermelden probeert DOS altijd eerst het .COM-bestand uit te voeren, en pas daarna het .EXE-bestand. Daardoor zal dus het virus geladen worden i.p.v. uw programma.
  Een voorbeeld: Als u in DOS 'regedit' typt, dan zal eerst geprobeerd worden om 'REGEDIT.COM' uit te voeren. Als dit niet lukt, dan zal DOS 'REGEDIT.EXE' proberen uit te voeren.
  
  
• Filesystem-bestandsvirussen:
  
  
  
  Een filesystem-bestandsvirus (ook wel directory-, link- of FAT-virussen genoemd) brengt wijzigingen aan in de File Allocation Table of kortweg FAT.
  Dit is het gedeelte van de harde schijf dat gebruikt wordt om de bestandsstructuur op te slaan. Dit is een vitaal onderdeel voor een goedwerkende computer. Zonder FAT weet het systeem niet waar het de bestanden kan vinden op de harde schijf.
  Filesystem virussen manipuleren het FAT waardoor bepaalde delen van de schijf niet meer bereikbaar zijn. Daardoor verwijzen de programmanamen niet meer naar het programmabestand, maar naar het computervirus. Zelf bewaart het computervirus waar het bestand te vinden is. Dit type computervirus tast het programma zelf dus niet aan, enkel de verwijzing ernaar wordt veranderd. Op die manier kunnen ze ervoor zorgen dat het virus eerst gestart wordt en pas daarna het bestand.
  De viruscode wordt op de laatste cluster van de harde schijf geschreven. Er bestaat slechts één kopie van het virus op de schijf waarnaar alle programmanamen wijzen.
  Filesystemvirussen kunnen vrij snel ontdekt worden bij het uitvoeren van ScanDISK die fouten in het FAT zal aantreffen.
  Vb: het DIR-2 virus.
  
  
• Overwrite-bestandsvirussen:
  
  
  
  Overwrite-bestandsvirussen schrijven hun code aan het begin in het gastheerbestand over de originele programmacode heen. Wanneer het programma gestart wordt, zal het virus andere bestanden besmetten.
  Een programma dat geïnfecteerd is door een overwrite-virus is onherstelbaar beschadigd en zal dus niet meer starten.
  
  Overwrite-bestandsvirussen zijn erg makkelijk te op te sporen. Deze komen bijgevolg niet frequent voor aangezien ze zich erg moeilijk verspreiden.
  
  
• Insert-bestandsvirussen:
  
  
  
  Programma's bevatten soms gebieden die niet gebruikt worden. Op deze plaatsen kan het virus code invoegen. Soms verplaatst een insert-bestandvirus zelfs een deel van de originele code zodat het de eigen code kan invoegen.
  
  
• Prepending-bestandsvirussen:
  
  
  
  Prepending-bestandsvirussen plaatsen hun code boven het bestaande programma. Wanneer u een programma uitvoert dat geïnfecteerd is met dit soort virus zal eerst de code van het virus uitgevoerd worden. Pas daarna wordt het programma uitgevoerd.
  
  
• Appending-bestandsvirussen:
  
  
  
  Bij Appending-bestandsvirussen plaatst het virus de eigen code achter de code van het originele programma. Vóór de eerste regel van de originele programmmacode wordt een extra regel code geplaatst. Bij het uitvoeren van deze eerste regel wordt naar de viruscode achteraan gesprongen. Na het uitvoeren van de viruscode achteraan wordt er teruggesprongen naar het begin van het originele programma en wordt uw programma uitgevoerd.
  
  

Vele computervirussen blijven actief in het geheugen (=resident) zodat ze programma's kunnen besmetten op het moment dat deze uitgevoerd of gewijzigd worden.
Andere virussen blijven niet actief (=Direct Action) en besmetten andere programma's op het moment dat het besmette programma uitgevoerd wordt.

De verspreiding van bestandsvirussen kan zich binnen uw computer afspelen (van programma naar programma) en naar andere computers door het doorgeven van geïnfecteerde programma's.
Bestandsvirussen verspreiden zich dus onafhankelijk van de gegevensdrager en kunnen dus ook van Internet gedownload worden.

Vb: W32.Kan