Необычные файловые вирусы для MS-DOSРассмотрим подробнее одну из типичных полиморфных технологий — TPE. Вот перевод фрагмента «документации», приложенной автором к своей разработке. Правила использования TPE очень просты. Процедуре crypt перед вызовом следует передать в регистрах необходимые параметры: адрес фрагмента, который подлежит зашифровке; длину шифруемой области; адрес области, в которую будет помещен код расшифровщика; флаги режимов вставки «мусора» между командами расшифровщика и прочее. Сгенерированный полиморфный расшифровщик будет состоять из нескольких десятков команд и выглядеть довольно запутанным для «человеческого» глаза. Тем не менее использование в вирусах как TPE, так и других полиморфных технологий ничем не затрудняет их обнаружаемость и удаляемость со стороны современных антивирусов, по сравнению с «традиционными» полиморфиками.

В принципе, «сочинение» вирусов — это тоже «творческая работа». Во все времена «элитой» среди вирусописателей считались те, кто изобретал и использовал необычные технологии размножения, применял нестандартные приемы программирования. Результаты их работы занимают место не в «пыльных запасниках», а на «сверкающих витринах» любых вирусных коллекций В начале 90-х годов XX века членами «Европейского института антивирусных исследований» был разработан «ложный вирус» — файл, содержащий очень короткую и совершенно безвредную COM-программу. Если ее запустить, то она просто выведет на экран сообщение «EICAR-STANDARD-ANTIVIRUS-TEST — FILE!» и завершится. Предназначен был этот «ложный вирус» для тестирования работоспособности антивирусов различных производителей: каждый антивирус обязан был уметь обнаруживать и распознавать этот файл и реагировать на него так, как обычно реагирует на настоящий вирус. «Лечению» этот «ложный вирус», разумеется, не подлежал.

Еще интересные статьи :