Speicherresidenter Virus

Ein speicherresidenter Virus lädt seinen Code bei der Ausführung in den RAM und bleibt auch nach dem Beenden des Wirts aktiv. Aus dem Speicher heraus kann er Systemaufrufe haken, Dateioperationen überwachen und jede ausführbare Datei oder jedes Dokument infizieren, das geöffnet, kopiert oder gespeichert wird. Diese Persistenz erschwert die Entfernung, da bereinigte Dateien sofort erneut infiziert werden können. Es sind typischerweise Schadprogramme aus der Windows/DOS-Ära, die sich in Interrupts oder Systemdienste einklinken. Schutzmaßnahmen sind verhaltensbasiertes Antiviren-Monitoring von Prozessinjektion und Memory-Hooks, Exploit-Schutz moderner OS, Application Allow-Listing und vollständige Scans aus sauberer Offline-Umgebung.