Wirus komputerowy (łacińskie "virus" oznacza truciznę) to krótki program, który posiada zdolność samoczynnego powielania się i przenoszenia z jednego komputera na drugi bez wiedzy i poza kontrolą użytkownika. Twórcą tego terminu, funkcjonującego od 1986 r. jest Fred Cohen, który za badania nad tym zjawiskiem otrzymał doktorat w dziedzinie inżynierii elektrycznej.
Wirusy tworzone są przez anonimowych programistów, najczęściej w złych zamiarach - Stephen Hawking, laureat nagrody Nobla w dziedzinie fizyki, określił je jako pierwszą formę życia stworzoną przez człowieka. Najwcześniejszy przypadek ukarania autora wirusa miał miejsce w 1995 r. - został on skazany na 18 miesięcy więzienia.
Szkody wyrządzane przez wirusy różnią się w zależności od jego rodzaju, począwszy od wyświetlania na ekranie niegroźnych komunikatów, a skończywszy na uszkodzeniu bądź zniszczeniu danych i unieruchomieniu komputera. Wirusy mogą być przenoszone poprzez dyskietki, dyski optyczne oraz sieć.
Terminem "wirus" bywają często określane niesłusznie wszystkie destrukcyjne programy m.in. konie trojańskie. Wirusy to programy które maskują się podczepiając pod inne użyteczne pliki. Są to głownie pliki z rozszerzeniem; exe, doc, xls, com, rónież e-maile i pliki html. Wirusy głównie kopiują się w dziesiątki miejsc ale są i takie które czynią duże szkody. Wirus komputerowy nigdy nie powstaje samoistnie, każdy „insekt” tworzony jest przez osobę która postawiła sobie za cel stworzenia programu który będzie się sam powielał w komputerach w których się pojawi. Większość wirusów jest niegroźna, często ich celem jest np. wyświetlenie jakiegoś komunikatu na ekranie monitora. Jednak wirusy pisane przez dobrych programistów często prowadzą do nieodwracalnych szkód, np. wykradanie danych, bądź ich niszczenie, „dobre” wirusy najczęściej pisane są w asemblerze co spowodowane jest głównie specyfiką kodu generowanego przez ten język, a zwłaszcza jego zwięzłością. Kod maszynowy programu, który z punktu widzenia użytkownika nie robi nic, w językach wysokiego poziomu (Pascal, C ) zajmie od kilkuset bajtów do kilku kilobajtów, natomiast w asemblerze podobny program zajmie od jednego do czterech bajtów. Spowodowane jest to tym, iż języki wysokiego poziomu do każdego wygenerowanego przez siebie programu dodają standardowe prologi i epilogi, niewidoczne dla piszącego w danym języku programisty, które są odpowiedzialne np. za obsługę błędów. W asemblerze programista ma dużą swobodę w dostępie do pamięci czy portów, ma możliwość świadomego wpływu na kształt programu np. w zakresie używanych instrukcji. Programy tworzone w asemblerze przez wprawnych programistów są optymalne pod względem szybkości działania i długości kodu. Jedynym ograniczeniem asemblera jest fakt, iż programy napisane w tym języku nie mogą być przenoszone na komputery o innej architekturze , stąd mogą działać tylko w jednej rodzinie komputerów.
Cały czas powstają nowe wirusy. Zastosowanie dobrego programu antywirusowego zapobiega zagrożeniu w 99%. Programy te muszą być aktualizowane i muszą monitorować wszystko to co dzieje się w systemie. Skanować należy wszystko to co przychodzi z zewnątrz począwszy od e-maili a kończąc na płytkach pism komputerowych. Informacje o najnowszych wirusach znajdziesz m.in. www.antivirus.com/vinfo Proces infekowania polega najczęściej na odpowiedniej modyfikacji struktury pliku bądź sektora. Długość typowego wirusa waha się zazwyczaj w granicach od kilku bajtów do kilku kilobajtów, zależy to głównie od programisty piszącego wirusa oraz od języka w którym wirus jest pisany. Efekt działania wirusa zależy od programisty oraz jego umiejętności . Celem większości wirusów jest tylko własna replikacja a widoczne efekty często spowodowane są działaniem ubocznym wynikającym z błędów. Uaktywnienie wirusa najczęściej spowodowane jest nieświadomym działaniem użytkownika, który, uruchamia zarażony program, bądź próbuje wczytać system z zarażonej dyskietki, czy odczytuje zarażony dokument. W ten sposób użytkownik sam instaluje wirusa w używanym przez siebie komputerze.
Podział wirusów ze względu na sposób infekcji :
#Rezydentne
Wirusy tego typu instalują się w pamięci jako rezydentne programy usługowe TSR (ang. Terminate and Stay Resident). Przejmują jedno lub więcej przerwań i infekują , gdy spełnione są określone warunki np. uruchomienie programu.
#Nie rezydentne
Są aktywne jedynie wtedy , gdy jest wykonywany zainfekowany program użytkowy. Wykonują one całkowicie swój program na tym etapie i nie pozostają w pamięci.
#Szybkie infektory (and. Fastinfectors)
Przejmują one wszystkie funkcje systemu DOS, używane do obsługi plików, zarażają wszystko co się da w jak najkrótszym czasie. To powoduje ,że po okresie bardzo szybkiego rozprzestrzeniania się wirusa w danym systemie następuje jakby jego uśpienie, gdyż wirus nie może znaleźć kolejnej ofiary. Często pierwszą rzeczą jaką robi wirus jest niszczenie w pamięci kodu zamazywalnej części interpretatora poleceń , co sprawia, że przy następnym wywołaniu jakiegoś polecenia z poziomu DOS plik zawierający interpretator poleceń (czyli najczęściej COMMAND.COM) zostanie ponownie uruchomiony i w efekcie natychmiast zainfekowany. Duża aktywność szybkiego infektora będzie łatwo zauważalna dla użytkownika , nawet takiego , który słabo zna system. W tego rodzaju wirusach nie sprawdza sięnawet użycie technik stealth, zwłaszcza gdy użytkownik wykonuje dużo operacji dyskowych.
#Wolne infektory (ang. Slow infectors)
Są one bardziej wyrafinowane niż szybkie infektory, ponieważ ich głównym zadaniem nie jest jak najszybsze rozprzestrzenienie się lecz jak najdłuższe przetrwanie. Wirusy te używają najczęściej wolnych, kilkustopniowych, zmiennych procedur szyfrujących, oraz techniki stealtch. Najczęściej infekują one tylko te obiekty które modyfikuje lub tworzy użytkownik, Wirusy te są bardzo trudne do wykrycia i usunięcia nawet dla zaawansowanych programów antywirusowych.
Technika stealth- w języku angielskim znaczy niewidzialny, jest to „sztuczka” polegająca na kontroli odpowiednich funkcji systemu DOS lub BIOS, obsługujących pamięć i operacje dyskowe. Oszustwo polega na tym ,że fizycznie zarażony obiekt, po odpowiedniej obróbce przez wirusa, wygląda, jakby był niezainfekowany, mamy do czynienia z różnymi technikami stealth, jednak nie będę ich opisywał ponieważ wydaje mi się to zbędne.
Rodzaje wirusów:
#Wirusy pasożytnicze (ang. Parasite infectors)
Ten rodzaj wirusów jest najszerzej rozprzestrzeniony na świecie i najczęściej spotykany, wykorzystują swoje ofiary do transportu modyfikując ich strukturę wewnętrzną. Często pliki używane do transportu przez wirusy pasożytnicze są trwale niszczone, jedynym ratunkiem jest użycie szczepionki lub kopii zapasowych, ponieważ zarażane pliki z reguły nie są przez wirusa leczone. Wyjątkiem są wirusy których celem jest infekcja tablicy partycji lub BOOT sektora dysku twardego, wtedy pliki używane są tylko do transportu. Taki wirus po zainfekowaniu tablicy partycji lub BOOT sektora, leczy pliki znajdujące się na twardym dysku ,których użył do transportu, a infekuje jedynie te znajdujące się na dyskietkach lub na nie kopiowane.
Wirusy pasożytnicze można podzielić ze względu na zajmowane przez nie miejsce w zainfekowanych plikach na:
- Wirusy nadpisujące (ang. Overwrite infectors), lokujące się na początku pliku, często prowadzące do nieodwracalnych zmian ponieważ z reguły nie zapamiętują zawartości pliku przed zainfekowaniem.
- Wirusy lokujące się na końcu pliku (ang. End of file infectors), jest to najbardziej rozpowszechniona odmiana wirusów, modyfikują one pewne ustalone struktury na początku pliku tak, aby wskazywały na wirusa, po czym dopisują się na końcu pliku.
- Wirusy nagłówkowe (ang. Header infectors), lokują się w nagłówku plików EXE przeznaczonych dla DOS?a, wykorzystują one fakt, ze nagłówek plików exe jest standardowo ustawiony przez programy linkujące na wielokrotność jednego sektora (512 bajtów). Wirusy te zwykle nie przekraczają rozmiaru jednego sektora i infekują przez przejęcie funkcji BIOS które służą do odczytu i zapisu sektorów (02,03/13).
- Wirusy lokujące się w pliku w miejscu gdzie jest jakiś wolny obszar (wypełniony ciągiem zer), który można nadpisać nie niszcząc pliku (ang. Cave infectors).
- Wirusy lokujące się w dowolnym miejscu pliku (ang. Surface infectors), występują dość rzadko, co jest pewnie wynikiem tego, że trzeba posiadać niemałe umiejętności aby je napisać.
- Wirusy wykorzystujące część ostatniej jednostki alokacji pliku JAP (ang. Slack space infectors), korzystają one z tego, że plik rzadko zajmuje dokładnie wielokrotność jednej Jednostki Alokacji Pliku (JAP).
#Wirusy towarzyszące (ang. Companion infectors)
Wirusy te pisane są najczęściej w językach wysokiego poziomu (C, Pascal). Atakują one pliki a ich działanie opiera się na hierarchii systemu DOS podczas uruchamiania programów. Oznacza to, że w przypadku uruchamiania jakiegoś programu bez podania rozszerzenia, najpierw poszukiwany jest plik o rozszerzeniu COM, później EXE a na końcu BAT (W przypadku wykorzystania interpretatora poleceń 4DOS dochodzą jeszcze pliki BTM, które będą poszukiwane przed plikami BAT).
Przykład:
- jeżeli w jednym katalogu istnieją trzy pliki:
prog.bat
prog.com
prog.exe
- to jako pierwszy będzie uruchamiany plik z rozszerzeniem com, później exe a na końcu bat.
- - Plik prog.com będzie się uruchamiać ilekroć podamy nazwę PROG bez rozszerzenia lub z rozszerzeniem COM. Plik PROG.EXE można w tym wypadku uruchomić wyłącznie poprzez podanie jego pełnej nazwy, bądź tez poprzez uprzednie usunięcie pliku PROG.COM z danego katalogu. Uruchomienie pliku BAT wymaga albo usunięcie dwóch wcześniej wymienionych plików z katalogu, bądź wpisanie nazwy pliku z rozszerzeniem BAT. Jak widać wirus ma kilka możliwości, aby zainfekować uruchamiany program.
istnieje plik COM: nie można zastosować infekcji
istnieje plik EXE: można utworzyć plik o takiej samej nazwie, o rozszerzeniu COM który będzie zawierał wirusa
istnieje plik BAT: można utworzyć plik o takiej samej nazwie, o rozszerzeniu COM lub EXE który będzie zawierał wirusa
Następna próba uruchomienia tak zarażonego programu spowoduje najpierw uruchomienie podszywającego się pod program wirusa, a dopiero on, po zakończeniu pracy, przekaże sterowanie do programu macierzystego, najczęściej poprzez wywołanie programu interpretatora poleceń z parametrem: /C NazwaPlikuOfiary.
Ciekawym „udoskonaleniem” techniko opisanej powyżej, jest sposób infekcji stosowany przez wirusy towarzyszące, które wykorzystują zmienną środowiskową PATH (ang. Path companion infectors). Zmienna ta określa listę katalogów przeszukiwanych przez DOS’a podczas uruchamiania programu. Wirus korzystający z tej techniki tworzy plik, który zawiera kod wirusa w innym katalogu, znajdującym się w zmiennej środowiskowej PATH przed katalogiem, w którym znajduje się zarażana ofiara. W takim wypadku infekcję można zastosować dla dowolnego pliku z COM,EXE,BAT, ponieważ kolejność uruchamiania zależna jest przede wszystkim od zawartości zmiennej. Przykładowo:
- jeżeli zmienna środowiskowa PATH określana jako:
PATH = C:\,C:\DOS;C:\Windows, a w katalogu C:\DOS umieścimy plik WIN.BAT, to podczas kolejnego wywołania systemu WINDOWS (przez uruchomienie programu C:\WINDOWS\WIN.COM bez podawania ścieżki, czyli najczęściej WIN) z katalogu innego niż C:\WINDOWS, system uruchomi najpierw plik C:\DOS\WIN.BAT, a ten dopiero uruchomi właściwy program C:\WINDOWS\WIN.COM.
#Wirusy plików wsadowych (ang. Batchviruses)
Wykorzystują one do transportu pliki z rozszerzeniem BAT, są to raczej starsze wirusy. Jednak mimo raczej ubogiego zestawu środków jakimi operują twórca, potrafią często infekować nie tylko pliki BAT, ale często pliki COM i EXE czy sektor tablicy partycji.
Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamiany COM lub EXE (za pomocą polecenia ECHO, którego parametry są przekierowywane do pliku), zawierający właściwy kod infekujący pliki BAT. Po tym jak zostanie stworzony i wykorzystany jest kasowany.
#Makrowirusy (ang. Macroviruses)
Wirusy tego typu to jeden z nowszych wynalazków, nie zarażają one programów uruchamialnych, lecz pliki zawierające definicje makr. Wśród najczęściej zarażanych plików górują pliki z rozszerzeniami DOC (pliki programu Microsoft Word), XLS (Microsoft Excel, SAM (dokumenty AmiPro). Makrowirusy do rozprzestrzeniania się wykorzystują funkcje zawarte w językach makr, wbudowanych w różne aplikacje np.: WordBasic w MS Word).
#Generatory wirusów
Są to programy które umożliwiają stworzenie wirusa bez znajomości systemu i mechanizmów wykorzystywanych przez wirusy. Niestety te „narzędzia” dostępne są w Internecie praktycznie dla każdego. Korzystając z gotowych modułów w asemblerze można utworzyć wirusa o zadanych parametrach, które można najczęściej wybrać za pomocą zwykłego menu, więc praktycznie może to zrobić nawet „zielony” użytkownik. Można określić zakres obiektów infekowanych , rodzaj efektów „specjalnych”. Oprócz kodu wynikowego wirusa (czyli gotowego do uruchomienia) generatory tworzą zazwyczaj również dobrze opisane źródła w asemblerze, co umożliwia zainteresowanym nauką pisania wirusów douczanie się.
#Robaki
Są to programy, których celem jest tworzenie własnych duplikatów, także nie atakują on żadnych obiektów . Robaki zwykle nie wywołują żadnych skutków ubocznych, jedynie zajmują coraz więcej miejsca na dysku. Są one bardzo popularne w sieciach, ponieważ mają do dyspozycji protokoły transmisji sieciowej, dzięki którym mogą dowolnie przemieszczać się.
#Królik(ang. rabbit)
Program wielokrotnie kopiujący i uruchamiający swój własny kod źródłowy celem pełnego zagarnięcia zasobów komputera (czasu procesora, pamięci operacyjnej, przestrzeni dyskowej) i doprowadzenia do upadku systemu.
#Konie trojańskie (ang. trojan horses)
Koń trojański bywa utożsamiany z wirusem ze względu na swoje działanie destrukcyjne. Koń trojański uruchomiony wykonuje niby normalną pracę, bezpośrednio wynikającą z przeznaczenia programu (np.: gra, demo, inne programy), lecz dodatkowo, w tle wykonuje jakieś niezauważalne dla użytkownika operacje (np.: niszczy, kasuje, zamazuje, wykrada informacje) Konie trojańskie najczęściej przenoszą się w plikach udając np.: nową wersje oprogramowania, programy narzędziowe.
#Bomby logiczne (ang. logical bombs)
Są podobne do koni trojańskich, tyle, że koń trojański działa od razu , natomiast bomba logiczna swe destrukcyjne oblicze ukazuje tylko w określonym odpowiednimi warunkami czasie (najczęściej zależne od aktualnej daty lub liczby poprzednich wywołań programu). Ze względu na to, że właściwy kod destrukcyjny może być ukryty w dowolnym miejscu programu który zawiera bombę logiczną, należy się ostrożnie obchodzić z aplikacjami które są nieznanego pochodzenia, często mianem bomby określa się destrukcyjny kod zawarty w wirusach , którego wywołanie następuje tylko po spełnieniu jakiegoś warunku.
Techniki tworzenia wirusów:
#Wirusy wielopostaciowe
Od dawna twórcy wirusów marzyli aby ich "dzieła" były niewykrywalne przez skanery antywirusowe. Rozwiązanie było proste: wczesne skanery antywirusowe posługiwały się próbką (łańcuchem bajtów charakterystycznych) ze złapanego i przeanalizowanego wirusa. Taki skaner przeszukując plik porównywał jego strukturę ze składowanymi w swojej bazie próbkami. W razie wykrycia podobieństwa wszczynany był alarm. Wystarczyło stworzyć wirusa z którego nie można było pobrać próbki. Aby było to możliwe, wirus po każdym swoim powieleniu powinien wyglądać inaczej. Początkowo wprowadzono procedury szyfrujące kod wirusa za pomocą stałego lub zmiennego klucza. Ta procedura zawsze wyglądała jednakowo i z niej można było wyznaczyć bajty charakterystyczne. Następnie programiści poszli dalej. Aby "zamydlić oczy" skanerowi wprowadzono do kodu procedury deszyfrującej dodatkowych , nieistotnych dla algorytmu instrukcji , zmienianych podczas każdej infekcji. W odpowiedzi na to autorzy skanerów antywirusowych wprowadzili do swoich próbek tzw. znaki zastępcze (np. bajt ignorowany , przyjmujący dowolną wartość). Kolejnym ruchem autorów wirusów było utworzenie algorytmów generujących od kilkudziesięciu do nawet 1 miliarda różnych postaci procedury deszyfrującej. Przy procedurach które generują małą ilość wariantów możliwe jest wykrywanie przez zapisanie w bazie skanera wszystkich możliwych do wygenerowania ciągów. Jednak przy dzisiejszych możliwościach autorów i ich wirusów ta metoda wykrywania nie zdaje egzaminu. Autorzy nowoczesnych wirusów stosują metody : zastępowania i przestawiania instrukcji procedury deszyfrującej , mieszania instrukcji właściwego kodu procedury z instrukcjami "jałowymi" np. NOP (nic nie rób) oraz rozsiewania kodu procedury deszyfrującej w kodzie nosiciela. Metoda szyfrowania polimorficznego jest również stosowana dla kodu wirusa rezydującego w pamięci komputera. Utrudnia to jego identyfikacje i obezwładnienie.
#Wirusy utajnione (ang. Stealth)
Jedną z metod uczynienia wirusa niewykrywalnym jest jego utajnienie. Na ogół kod wirusa jest widoczny w kodzie zarażonego programu. Możemy się o tym przekonać oglądając zarażony program np. edytorem binarnym. Metoda utajniania polega na podsuwaniu programom czytającym zarażony plik , obrazu jego sprzed infekcji. Wirus wykorzystujący technikę STEALTH przechwytuje odpowiednie przerwania i na żądanie odczytu odkaża nosiciela (wirusy plikowe) lub podsuwa oryginalny kod ze swojej przechowalni (wirusy dyskowe). W przypadku wirusów plikowych plik odkażony po zamknięciu jest ponownie infekowany. Wirusy dyskowe ukrywają swój kod na dysku również w inny sposób. Formatują sobie dodatkową ścieżkę na której umieszczają swój kod. Do tak spreparowanej ścieżki system operacyjny nie ma dostępu i kod wirusa nie jest narażony na wykrycie. Wirusy typu STEALTH przekłamują odczyty rozmiaru pliku , odejmując od oryginalnego rozmiaru wielkość wirusa. Użytkownik komputera nie zauważy wiec faktu powiększenia się rozmiarów zbiorów na skutek infekcji. Aby ukryć fakt rezydowania w pamięci komputera wirusy typu STEALTH podsuwają programom oryginalne adresy wektorów przerwań oraz ukrywają zajęte przez siebie bloki pamięci oznaczając je najczęściej jako nie przydzielone.
#Wirusy opancerzone (ang. Armory)
Dobry wirus musi nie tylko się ukrywać ale również musi być odporny na jego analizę. Aby zapobiec deassemblacji kodu wirusa , autorzy wstawiają do jego kodu wiele pojedynczych bajtów dobranych w taki sposób , aby przy próbie przetłumaczenia go występowały przekłamania. Procesor wykonujący rozkazy kodu wirusa w jednoznaczny sposób "wie" jakie rozkazy pobrał i ma wykonać , lecz program tłumaczący ten kod w mniejszym lub większym stopniu nie jest w stanie zinterpretować instrukcji które zostały obstawione "lewymi bajtami". Inną metodą analizy kodu wirusa jest jego śledzenie pod kontroli programu śledzącego (ang. debugger). W tym trybie kod wirusa jest wykonywany krok po kroku. Aby to było możliwe debugger wstawia w kodzie śledzonym specjalne bajty tzw. punkty zatrzymania (ang. breakpoint) . Jest kilka metod aby utrudnić taka analizę. Pierwszą metoda jest usuwanie z kodu wirusa punktów zatrzymania. Aby w praktyce to zadziałało wirus musi być już aktywny w pamięci. Z częstotliwością np. 18 razy na sekundę skanuje swój kod i sprawdza czy nie uległ modyfikacji , jeżeli tak to odtwarza zmienione bajty na podstawie sum kontrolnych. Taki wirus potrafi też np. restartować komputer jeżeli wykryje uruchomiony program śledzący. Inna metoda polega na użyciu instrukcji "zabójczych" dla programu śledzącego np. wywołanie przerwań które on wykorzystuje , operacje na stosie. Kolejna metoda to wykorzystanie mechanizmu procesora polegającego na przyjmowaniu nowych rozkazów , podczas gdy rozkazy wcześniej pobrane są wykonywane. Zasada jest prosta: instrukcja poprzedzająca modyfikuje instrukcje następną. Gdyby wykonać ten kod z pełną prędkością procesora czyli bez śledzenia to modyfikacja ta nie doszła by do skutku. Powodem tego jest to , że modyfikacja odbyłaby się w pamięci operacyjnej komputera a nie w buforze procesora. Natomiast pod nadzorem programu śledzącego bufor procesora jest odświeżany po każdej instrukcji śledzonego programu wiec taka modyfikacja zostanie "dostrzeżona" przez procesor. W ten sposób wirus może obronić się przed wścibskimi programistami lub amatorami dłubania w cudzych programach.
Podział wirusów:
#Plikowe
Wirusy plikowe infekują wszystkie pliki uruchamialne. Ostatnio nawet DOC i XLS. Dołączane są do kodu infekowanego programu. Mogą dołączać się na jego końcu, początku i w środku. Istnieją również wirusy plikowe, które zamazują część kodu programu uszkadzając go już nieodwracalnie. Zazwyczaj wirusy plikowe są uruchamiane przed właściwym programem, jednak istnieją i takie, które zostają uaktywnione po zakończeniu działania pierwotnego programu. Przykładem może być wirus BeTaViRiLaTiOn lub GEOv1.0 napisane w Turbo Pascal'u. Wirusów plikowych jest najwięcej, z tego względu, że są proste do napisania i szybko się rozprzestrzeniają.
#Wirusy Boot sector'a
Wirusy tego typu zmieniają zawartość sektora głównego dysku (boot sector'a) lub sektora ładowania. Zamiast prawdziwego kodu zapisują tam część samego siebie, a dobrą kopię zapisują zazwyczaj w innym miejscu. Takie wirusy uaktywniają się tylko podczas startu z zarażonego dysku. Kiedy "ruszymy" z takiego nośnika wirus znajdujący się tam zostaje uaktywniony. Wczytuje on wówczas resztę swojego kodu, który się tam nie zmieścił i prawdziwy sektor. Jeśli mamy zainfekowany dysk twardy, to by go wyleczyć trzeba uruchomić komputer z dyskietki systemowej i uruchomić dobry program antywirusowy.
#Towarzyszące
Wirusów towarzyszących jest znacznie mniej od plikowych. Zarażają one pliki EXE. Sposób postępowania takiego wirusa jest następujący: znalezienie katalogu, w którym znajduje się EXE'k do zainfekowania. Stworzenie tam pliku o tej samej nazwie, lecz z rozszerzeniem COM, do którego zostanie zapisany kod wirusa. Większość ludzi nie zwraca uwagi na to, czy dany plik ma rozszerzenie EXE, czy COM. Po wpisaniu np. polecenia NC (Norton Commander) DOS szuka najpierw pliku NC.COM i jeśli go znajdzie to uruchamia, a dopiero później (gdy nie znajdzie COM'a) szuka NC.EXE. Wirusów tego typu jest mało i bardzo wolno się one rozprzestrzeniają.
#Hybrydowe
Wirusy hybrydowe, są to wirusy, które łączą w sobie różne typy wirusów. Wirusów tych jest bardzo wiele. Rozprzestrzeniają się one bardzo szybko. Najczęstsze łączenie typów to: wirus plikowy i boot sektora.
#Polimorficzne
Wirusy tego typu są najgroźniejsze, gdyż najtrudniej jest je wykryć. Twórcy wirusów, by utrudnić życie programistom piszącym programy antywirusowe zaczęli szyfrować swoje dzieła. Szyfrowane są one w różny sposób, np. przez XOR - owanie. Każda kopia wirusa jest więc inna, ale nie do końca, gdyż procedura szyfrująca jest zawsze taka sama i po niej skanery rozpoznają wirusa. Jest na to jeden lek ;-). Trzeba szyfrować również procedurę szyfrującą, ale jak? Otóż zobaczmy na kody instrukcji: Wszystkie one wykonują to samo zadanie. Zerują rejestr AX. Istnieje jeszcze wiele innych instrukcji, które wykonują to samo zadanie, a mają inne kody, np. INC można zastąpić przez ADD, itp. W ten właśnie sposób działają wirusy polimorficzne. Procedura szyfrująca wirusa za każdym razem jest inna, mimo, że wykonuje to samo zadanie. W ten sposób może mieć kilkaset różnych postaci i dlatego skanery się po prostu gubią.
Ten typ wirusa może zmieniać swoją sygnaturę lub procedurę operacyjną przy każdej próbie infekcji, przez co staje się on trudniejszy do wykrycia przez oprogramowanie antywirusowe. Na przykład wirus Bugbear rozprzestrzenia się za pośrednictwem załączników wiadomości e-mail i sieci lokalnych, ale pozostaje trudny do wykrycia dzięki swojej polimorficznej naturze. Inne wirusy, takie jak Sobig, które nie są polimorficzne, mogą nie zostać wykryte przez niezaktualizowane oprogramowanie antywirusowe, ponieważ występują w kilku odmianach. Kiedy użytkownik otwiera zainfekowany załącznik, wirusy te zwykle kopiują się do folderu systemowego Windows, a następnie modyfikują zawartość rejestru tak, aby zostały uruchomione automatycznie przy ponownym uruchomieniu systemu. Następnie pobierają książkę adresową z oprogramowania obsługującego pocztę elektroniczną użytkownika i wysyłają swoje kopie pod każdy adres znaleziony na liście kontaktów. W wiadomościach tych podawane jest fałszywe nazwisko nadawcy, co utrudnia wykrycie prawdziwego źródła wiadomości. Temat wiadomości i tytuł załączonego pliku mogą być różne i często są przypadkowe. Ogólnie należy zachować ostrożność w przypadku wiadomości, których tytuły wyglądają na zbyt piękne, aby mogły być prawdziwe, np. „Your Gift” (Twój prezent), „£150 Free Bonus!” (Darmowy bonus 150 funtów) czy „Amazing!” (Niesamowite!). Trzeba też podejrzliwie traktować wiadomości wyglądające jak zwykłe wiadomości e-mail, zapytania i/lub biuletyny, ponieważ np. wirus BugBear potrafi się maskować w taki sposób. Pliki załączników często mają podwójne rozszerzenie i występują w formatach plików .exe, .scr lub .pif. Ponadto wirusy te często instalują konie trojańskie lub programy rejestrujące naciskane przez użytkownika klawisze, które wysyłają te informacje do autora wirusa. W ten sposób wpisywane przez użytkownika hasła i numery kart kredytowych mogą być przesyłane do hakerów.