Вирусы семейство DIR.

В 1991 году появились вирусы нового типа - вирусы, меняющие файловую систему. Эти вирусы обычно назывались DIR. Такие вирусы прячут свое тело в необходимый участок диска (обычно - в последний кластер диска) и помечают его в таблицу размещения файлов (FAT) как конец файла или как дефектный участок. Для всех .COM и .EXE- файлов указывают на первый кластер (участок) файла, содержащий в соответствующих элементах каталога, заменяется ссылкой на участок диска, содержащихся вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске на «чистом» компьютере также ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с заражённой дискеты программные файлы из них будут прочитаны или скопированы только 512 или 1024 байта, даже если гораздо длиннее. А диск, как по волшебству начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на «чистом» компьютере с помощью программ ChkDisk, ScanDisk или NDD файловая система зараженного DIR- вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов («. . .cross linked on cluster . . .») и о цепочках потерянных кластеров («. . . lost cluster found in . . . chains»).

Особая опасность вирусов семейства DIR состоит в том, что повреждения файловой структуры, сделанные этим вирусом, не следует исправлять программами типа ScanDisk или NDD - при этом диск окажется безнадежно испорченным. Для исправления надо применить только антивирусные программы.

Примечание. Вирусы семейства DIR формально относят к файловым, хотя они меняют не сами файлы, а способ обращения операционной системы к этим файлам.