Исходные данныеИсходные данные представляются в виде непрерывного потока битов. Тогда каждые три последовательных байта могут быть представлены в виде четырех чисел по 6 битов каждое: 3 х 8 = 24 = 4 х 6. Эти числа служат индексами в «словарях». Предположим, что требуется закодировать «не-вирус» «EICAR. COM», начинающийся со следующих байтов: Тогда байты 58h, 35h и 4Fh преобразуются в строки «M6#5» и «WDVP» соответственно. Разумеется, при этом объем любого закодированного набора данных увеличится в 1,33 раза. Встречается еще кодировка «Quoted printable», которая заменяет все байты данных их шестнадцатеричными кодами, например: «=58=35=4F». Итак, электронное сообщение сформировано. Теперь необходимо найти где-то адреса для рассылки. Вариантов много. Например, почтовые черви E-Worm. Win32.Aliz, E-Worm. Win32.Coronex, E-Worm. Win32.Klez и др. брали их напрямую из файлов с расширением «.WAB», в которых хранится адресная книга программы OutLook. Этот файл имеет в начале заголовок, в котором по смещению 100h содержится количество записей в адресной книге, по смещению 96h — адрес первой записи, а каждая 68-байтовая запись начинается со строки адреса. Вот как, примерно, сканировал файл адресной книги червь E-Worm. Win32.Coronex. c: А такие вирусы, как E-Worm. Win32.Brontok, E-Worm. Win32. Netsky, E-Worm. Win32.Sober, E-Worm. Win32.Sobig, E-Worm. Win32.Swen, E-Worm. Win32.Dumaru, E-Worm. Win32.Mydoom и прочие, поступали еще проще. Они искали на диске всевозможные файлы с расширениями «.TXT», «.DOC», «.RTF», «.MSG», «.WAB», «.HTM» и т. п. и примитивно сканировали их с целью обнаружить адресные строки по маске «*@*.*», где «*» — произвольная цепочка из алфавитно-цифровых символов. И, кстати, находили очень много целей для заражения. Полюбопытствуйте, сколько чужих почтовых адресов можно найти, например, в различных файлах вашего каталога «Temporary Internet»? Если вы активный пользователь Интернета, то их там десятки!

Еще интересные статьи :