Энциклопедия компьютерных вирусов
Заражение EXE-файлов (Appending)
Вирус считывает заголовок файла, шифрует его (полиморфик-методом) и записывает в конец файла. Затем вирус шифрует свой код (также полиморфик-методом), дописывает к концу файла и модифицирует заголовок файла так, чтобы CS:IP указывали на код вируса. Следует отметить, что при шифровке заголовка файла и тела вируса используются различные полиморфик-циклы. При запуске файла цикл расшифровки восстанавливает только код вируса, но не заголовок файла, который зашифрован другим полиморфик-циклом. Вирус не содержит этот второй цикл в своем теле. Для последующей расшифровки заголовка вирус при заражении файла запоминает стартовые значения генератора случайных чисел (который определяет работу полиморфик-механизма) и при восстановлении заголовка генерирует полиморфик-код с теми же начальными значения генератора случайных чисел. В результате получается тот же самый код, который использовался при зашифровке заголовка файла, и для расшифровки заголовка вирус запускает этот код.
