Энциклопедия компьютерных вирусов
Заражение файлов в середину
Некоторые из вирусов семейства ("Nutcracker.AB1,Antarex,AB2") используют достаточно редкий способ заражения файлов: они считывают блок данных из середины файла, шифруют его и записывают в конец файла. Некоторые вирусы упаковывают этот блок данных перед тем, как зашифровать его. Затем вирус шифрует себя используя полиморфик-алгоритм, записывает себя в середину файла, а процедуру расшифровки - в конец файла. Процедура расшифровки может содержать до 23 циклов, которые последовательно расшифровывают друг друга. "Nutcracker.AB1" использует только один цикл.
Файл перед Зараженный заражением файл +----------+ +----------+ | | |jmp |---+ | | | | | |----------| |----------| | | |----+ |virus | | зашифрованное тело вируса |----------| | |----------| | | | | | | | | | | | | | | | | | | | +----------+ | |----------| | +-->|host code | | блок данных из середины файла |----------|<-+| |last loop | || циклы расшифровки |----------| || |.......... --+| |----------|<-+| |2nd loop | || |----------|<--+ |1st loop | | +----------+--+
