Энциклопедия компьютерных вирусов
Win32.Harrier
Резидентный полиморфный Windows-вирус. Размножается под Windows95/98/NT и заражает PE EXE-файлы. Проявляется видео-эффектами: выодит сообщения, меняет тексты в окне сообщений зараженных программ, создает BMB-файл. Содержит ошибки и в некоторых случаях зараженные программы вызывают стандартное сообщение Windows об ошибке в приложении.
Вирус имеет достаточно внушительный размер: зараженные файлы увеличиваются в размере примерно на 100K, около 10K из них занимает полиморфик-код и оставшиеся 90K - "чистый" код вируса. Примерно 60K "чистого" вирусного кода являются данными вируса (текстовые строки, образ BMP-файла и т.п.). Оставшиеся 30K являются ассемблерным кодом - около 8 тысяч команд.
Полиморфик-механизм вирус по сложности можно классифицировать как средний, однако он генерирует от 9 до 17 циклов последовательной расшифровки, перемешанные с большим количеством команд-"пустышек", и, как указано выше, генерирует около 10K полиморфик-кода.
После расшифровки вируса его код предстает в достаточно странном виде: ассемблерные команды и подпрограммы расположенны не в последовательном порядке, а перемешаны случайным образом и чередуются с командами передачи управления (JMP). После каждой ассемблерной команды вирусного кода следует инструкция JMP, передающая управление на следующую команду вируса, причем последовательные инструкции вируса могут располагаться в самых различных частях вируса и расстояние между ними может достигать нескольких килобайт, например:
Команда3: MOV Reg3,value3 Jmp3: JMP вниз на 20Kb ... Команда1: MOV Reg1,value1 Jmp1: JMP вниз на 4Kb .... Команда2: MOV Reg2,value2 Jmp2: JMP вверх на 10Kb
Процедура подобного перемешивания инструкций (мутирования) в коде вируса отсутствует. Скорее всего, автор вируса использовал специальную утилиту перемешивания строк в исходном ассемблерном файле перед тем, как скомпилировать его в EXE-файл.
