Miért kerülik a merevlemezeket a vírusok?

A kártékony programok egyre gyakrabban kerülik a merevlemezeket. A védekezés szempontjából ennek pozitív és negatív hozadékai is vannak, de a támadások felderítését egyértelműen hátráltatja.
 

A legtöbb kártékony programról elmondható, hogy amikor valamilyen módon eljutnak egy számítógépre, akkor azokon lementik a saját fájljaikat a merevlemezre, majd gondoskodnak arról, hogy a rendszer újraindítását követően is be tudjanak töltődni, és folytatni tudják a nemkívánatos tevékenységeiket. Ez a módszer a támadók szempontjából akkor hatékony, ha egy-egy számítógépen hosszabb ideig akarják biztosítani a jelenlétüket. Ugyanakkor az állandó jelenlétnek hátulütői is vannak számukra, hiszen a vírusfelismerés valószínűsége, valamint a lebukás veszélye napról napra nő. Ezért egyre gyakrabban jelennek meg olyan károkozók, amelyeknek nem célja az, hogy folyamatosan rajta legyenek a fertőzött számítógépeken, vagyis mihelyt elvégzik a feladatukat, azonnal törlik a nyomaikat. Ez a vírusirtást ugyan megkönnyíti, hiszen a számítógép újraindításával a kártékony program megszűnik létezni. Sajnos azonban a helyzet nem ilyen egyszerű, ugyanis a víruskeresőknek sokkal gyorsabban kell reagálniuk az újonnan megjelenő kártevőkre, és a támadások, incidensek utólagos vizsgálata is sokkal nehezebbé válik.
 
Élet az újraindításig
 
Egy francia víruskutató, aki leginkább Kafeine néven ismert, egy érdekes felfedezést tett azon Angler károkozó kapcsán, amely számos módon képes segíteni a támadókat abban, hogy különféle trójai programokkal fertőzzék meg a számítógépeket. Az exploit kit - ahogy a társai is - alapesetben úgy működik, hogy amikor a felhasználó meglátogat egy fertőzött weboldalt, akkor az Angler megpróbál különféle (böngésző, Flash, Java stb.) sebezhetőségeket kihasználni annak érdekében, hogy a PC-re lementsen trójai és egyéb ártalmas programokat. Ekkor ezek rákerülnek a merevlemezre, sok esetben az átmeneti fájlok tárolására szolgáló (Temp) könyvtárba.