http://www.eescochang@yahoo.com//
INFECCION A LOS ARCHIVOS .COM
Los
archivos con extensión .COM son copias exactas de un segmento de
la memoria RAM.
Cuando el sistema operativo carga uno de estos
archivos en memoria, lo único que tiene que hacer es copiar el fichero
en un segmento de memoria, e inicializar los registros, antes de pasarle
el control al sistema operativo.
Existen dos formas de agregarle mas código
de programa a uno de estos archivos:
1.- Al principio del programa.
2.- Al final del programa.
El virus puede abrir un archivo ejecutable y sobreescribir
las primeras instrucciones del programa original, con su propio código,
y guardando las instrucciones originales al final del archivo. Así
cuando se cargue el programa, se ejecutara primero el código del
virus. Después hará lo que tenga que hacer (infectar), volverá
a copiar las instrucciones originales al principio del programa, y se ejecutara
el programa original como si nada hubiera pasado.
La otra forma de infectar
a este tipo de archivos se trata de colocar al principio del programa una
instrucción de salto al virus. Lo primero que hace el virus es sobreescribir
los 3 bytes de código original, después de esos 3 primeros
bytes existirá el salto al virus y este hará lo que tenga
que hacer (infectar), por ultimo solo tiene que saltar al principio del
programa donde las instrucciones de salto ya se han corregido y el programa
original se ejecutara normalmente.
La tarea para los anti-virus es difícil
en este tipo de archivos.
Dentro de los virus que modifican los archivos
.COM podríamos mencionar los que borran irremediablemente la información
que contiene, pero lo más habitual es que un programa infectado
funcione como perfectamente, sin delatar al pequeño visitante que
contiene. Por esta razón siempre es posible en estos casos destruir
el virus volviendo a modificar el programa a su estado original.
