Энциклопедия компьютерных вирусов
         

в их начало. Перед заражением


Безобидный нерезидентный полиморфик-вирус. Ищет COM-файлы в текущем каталоге и записывается в их начало. Перед заражением создает в памяти (побайтной записью) строку текста и сразу же стирает ее:

ZCME 0.01 Z0MBiE`s Code Mutation Engine (c) 1997

Отличительной чертой вируса является его полиморфик-механизм: вирус незашифрован, но не содержит постоянных участков кода. Достигается это тем, что при подготовке своего кода к записи в заражаемый файл вирус модифицирует его случайным образом: проходит своим встроенным дизассемблером собственный код и копирует свои ассемблерные инструкции в случайно выбранные адреса в пределах 16K-байтного буфера. Если последовательно идущие инструкции оказываются разнесенными в различные области буфера, то вирус для их связки использует ассемблерную команду JMP. При этом вирус также исправляет адреса условных переходов (Jcc) и команды вызова подпрограмм (CALL). Вирус также случайным образом добавляет в свой код "пустую" команду NOP. В результате 1346 байт кода вируса оказываются случайным образом "размазаны" в 16K-байтном буфере. Похожие полиморфик-генераторы используются в вирусах "Ply"

и "TMC".



Безобидный нерезидентный полиморфик-вирус. Ищет COM-файлы в текущем каталоге и записывается в их начало. Перед заражением создает в памяти (побайтной записью) строку текста и сразу же стирает ее:

ZCME 0.01 Z0MBiE`s Code Mutation Engine (c) 1997

Отличительной чертой вируса является его полиморфик-механизм: вирус незашифрован, но не содержит постоянных участков кода. Достигается это тем, что при подготовке своего кода к записи в заражаемый файл вирус модифицирует его случайным образом: проходит своим встроенным дизассемблером собственный код и копирует свои ассемблерные инструкции в случайно выбранные адреса в пределах 16K-байтного буфера. Если последовательно идущие инструкции оказываются разнесенными в различные области буфера, то вирус для их связки использует ассемблерную команду JMP. При этом вирус также исправляет адреса условных переходов (Jcc) и команды вызова подпрограмм (CALL). Вирус также случайным образом добавляет в свой код "пустую" команду NOP. В результате 1346 байт кода вируса оказываются случайным образом "размазаны" в 16K-байтном буфере.

Похожие полиморфик-генераторы используются в вирусах "Ply"

и "TMC".


Содержание раздела