Link virus

Jako "Link viry" označujeme ty souborové viry, které se připojují k infikovanému souboru a zachovávají jeho původní funkce. Je zřejmé, že tyto viry mají daleko větší šance než zástupci dvou výše popsaných skupin (přepisující a doprovodné viry).

Tyto viry modifikují kód své oběti tak, aby při spuštění infikovaného souboru byl spuštěn kód viru, který vykoná vše, co považuje za nutné, a poté obnoví a spustí původní program.

- kód viru      - původní obsah souboru  

> - instrukce skoku      - odložený původní obsah

Zjednodušené schéma infekce link virem. Nejčastěji je na začátek zdravého souboru (1) vloženo několik instrukcí, které předají řízení viru umístěnému za koncem původního souboru (2). Jednodušší viry se vkládají na začátek své oběti (napsat takový virus je snadnější) a původní obsah jejího začátku připojí na konec (3) nebo za své tělo přikopírují celý původní program (4). Virus se také může vložit kamkoli do těla své oběti (5), může se (v obvykle marné snaze o zmatení antivirového programu) spouštět přes několik roztroušených ostrůvků instrukcí (6) a bylo by možné najít mnoho dalších způsobů.

Připojení těla viru ke kódu jeho oběti ovšem znamená zvětšení velikosti původního souboru. To je přímo inzerát viru "Haló, jsem tady" a tak se pisálci virů snaží tuto skutečnost nějak zamaskovat.

Pěkným pokusem je vyhledat v těle napadaného souboru nějakou oblast s konstantním obsahem a vložit se do ní. Odpadne nutnost ukládat velký blok dat – stačí si zapamatovat jedno číslo. Většímu rozšíření této metody brání zejména fakt, že podobné "díry" nejsou v souborech příliš častým jevem, a tak se snižují šance viru na nalezení vhodného nosiče a tím i na přežití. Současné viry tuto techniku ještě občas používají při útoku na COMMAND.COM, který vhodné prostory obsahuje ve všech verzích DOSu a současně je souborem, jehož délku si (alespoň přibližně) část uživatelů pamatuje.

Lépe může fungovat "aktivní" ochrana. Pro rezidentní virus je totiž relativně jednoduché převzít kontrolu služeb operačního systému pro práci s adresáři a u infikovaných souborů korigovat informaci o jejich délce na původní hodnotu.

Tato stealth technika má ovšem sama o sobě řadu nepříjemných důsledků. Pokud nějaký program otevře takto chráněný soubor, tak zjistí, že skutečná délka neodpovídá údajům z adresáře a může se začít chovat zmateně. Utility typu CHKDSK nebo NDD zase zjistí, že obsah disku je nějak poškozen a pokusí se ho s více či méně katastrofálními důsledky "opravit".