Энциклопедия компьютерных вирусов



             

Bolzano.2664,2676,2716


Помимо перечисленного выше ищут и заражают файлы на всех доступных дисках. Используют технологию "Entry Point Obscuring" (EPO) - при заражении не меняют стартовый адрес программы (не устанавливают точку входа в файл на свой код). Вместо этого сканируют кодовую секцию файла по случайно выбранным адресам, ищут команды CALL (вызов процедур) и заменяют их на команды передачи управления на код вируса. Таким образом вирус получает управление не непосредственно при запуске зараженного файла, а только в том случае, если управление получает исправленный вирусом код зараженного файла.

Количество команд CALL, которые правит вирус в каждом файле, зависит от версии вируса и составляет от 5-10 (в данных версиях) до 64 в последующих версиях вируса.




Содержание  Назад  Вперед