Использование технологии EPOУдивительно, но идея внедрения вируса в середину программного кода «расцвела» не в DOS-эпоху, когда она была придумана и когда для ее реализации особых усилий прилагать не требовалось, а много позже — в эпоху 32-разрядных версий Windows. Для поиска подходящего места для вставки своих стартовых команд вирусы используют разные технологии. Проще всего сканировать кодовую секцию заражаемой программы, останавливая свое внимание на «прологах» процедур и функций, и прочих стандартных фрагментах программного кода. Обнаружив где-то в глубине кодовой секции соответствующую комбинацию байтов, можно надеяться, что программа рано или поздно дойдет до этой точки. Значит, можно заместить этот фрагмент командой перехода на вирусное тело, предварительно сохранив где-то внутри него оригинальные байты. Так поступают вирусы Win32.CTX, Win32.SK, Win32.Blakan, Win32.Deemo и прочие. Основной недостаток подобного подхода очевиден: надежды не обязаны сбываться, и вирус может «навеки» остаться внутри программы, так ни разу не получив управления и не совершив акта размножения. Гораздо более сложной и продвинутой является технология «LDE32» , пропагандируемая хитроумным отечественным вирусописателем по прозвищу Z0mbIE. В соответствии с ней вирус сканирует заражаемую программу с помощью встроенного в него довольно простого и быстродействующего «дизассемблера», позволяющего быстренько «пробежаться» по программе, команда за командой, и найти подходящее для заражения место. В результате точка входа в вирус иногда оказывается так глубоко в недрах программного кода, что антивирус, использующий для обнаружения ее отнюдь не простой дизассемблер, а полноценный эмулятор команд, вынужден подчас тратить минуты и даже десятки минут на поиск «заразы» в одном-единственном зараженном файле! Слава Богу, автору технологии хватило ума не выпускать своих многочисленных вирусов в «дикую природу». По крайней мере, в международном списке вирусных эпидемий от Joe Wells эти вирусы не упоминаются.

Еще интересные статьи :