Энциклопедия компьютерных вирусов

         

Заражение EXE-файлов


При заражении файлов вирус увеличивает размер последней секции файла, шифрует и записывает туда свой код. В том случае, если последняя секция файла является таблицей настроек (FixupTable), вирус записывает себя в ее начало и уничтожает таким образом данные в таблице.

Вирус не меняет стартовый адрес заражаемой программы и для того, чтобы получить управление при ее старте, использует технологию "Entry Point Obscuring" (см. EPO). Вирус сканирует кодовую секцию файла, ищет в ней команды CALL/JMP, которые вызывают импортируемые программой функции, случайным образом выбирает одну из них и записывает вместо нее команду передачи управления на свой код. Если команд вызова импортируемых функций не обнаружено, вирус не заражает этот файл.

Процедура заражения содержит незначительные ошибки, по причине которых некоторые заражаемые файлы оказываются испорченными. В случае WindowsNT это может остановить загрузку системы.



Содержание раздела