001B:00419581 70 6C 61 69 6E 00 00 69-73 6F 2D 38 38 35 39 2D  plain..iso-8859-

001B:00419591 31 00 00 51 55 49 54 0D-0A 00 00 45 48 4C 4F 20  1..QUIT....EHLO

001B:004195A1 25 73 0D 0A 00 00 00 50-61 73 73 77 6F 72 64 3A  %s.....Password:

001B:004195B1 00 00 00 55 73 65 72 6E-61 6D 65 3A 00 00 00 41  ...Username:...A

001B:004195C1 55 54 48 20 4C 4F 47 49-4E 0D 0A 00 00 00 00 4D  UTH LOGIN......M

001B:004195D1 41 49 4C 20 46 52 4F 4D-3A 20 3C 25 73 3E 0D 0A  AIL FROM: <%s>..

001B:004195E1 00 00 00 52 43 50 54 20-54 4F 3A 20 3C 25 73 3E  ...RCPT TO: <%s>

001B:00419BD1 00 00 00 24 5C 00 00 53-4F 46 54 57 41 52 45 5C  ...$..SOFTWARE

001B:00419BE1 4D 69 63 72 6F 73 6F 66-74 5C 57 69 6E 64 6F 77  MicrosoftWindow

001B:00419BF1 73 5C 43 75 72 72 65 6E-74 56 65 72 73 69 6F 6E  sCurrentVersion

001B:00419C01 5C 52 75 6E 00 00 00 20-2F 73 69 6E 63 00 00 64  Run... /sinc..d

001B:00419C11 62 78 00 68 6C 70 00 6D-68 74 00 77 61 62 00 68  bx.hlp.mht.wab.h

Рисунок 5. Распакованный вручную I-Worm.Sobig.f сразу же выдает агрессивность своих намерений характерными текстовыми строками

Стартовый код

В девяностых годах двадцатого века, когда вирусы создавались преимущественно на ассемблере и писались преимущественно профессионалами, а коммерческие программисты в своем подавляющем большинстве полностью отказались от ассемблера и перешли на языки высокого уровня, для разработчиков антивирусов наступили золотые дни, ибо распознать зараженный файл зачастую удавалось с одного взгляда. Действительно, любая нормально откомпилированная программа начинается с так называемого стартового кода (StartUp code), который легко отождествить визуально (как правило, он начинается с вызова функций GetVersion, GetModuleHandleA и т. д.), а дизассемблер IDA и вовсе идентифицирует стартовый код по обширной библиотеке сигнатур, выдавая тип и версию компилятора. Ассемблерные же программы стартового кода лишены, и потому, когда ассемблерный вирус внедряется в программу, написанную на языке высокого уровня, стартовый код отодвигается как бы «вглубь» файла, демаскируя тем самым факт своего заражения.