Ниже в качестве примера приведен фрагмент дизассемблерного листинга утилиты PING, зараженной вирусом UNIX.NuxBe.quilt (модификация известного вируса NuxBee, опубликованного в электронном журнале, выпускаемом группой #29A). Даже начинающий исследователь легко обнаружит присутствие вируса в теле программы. Характерная цепочка jmp, протянувшаяся через весь сегмент данных, не может не броситься в глаза. В «честных» программах такого практически никогда не бывает (хитрые конвертные защиты и упаковщики исполняемых файлов, построенные на полиморфных движках, мы оставим в стороне).

Отметим, что фрагменты вируса не обязательно должны следовать линейно. Напротив, вирус (если только его создатель не даун) предпримет все усилия, чтобы замаскировать факт своего существования. Вы должны быть готовы к тому, что jmp будут блохой скакать по всему файлу, используя «левые» эпилоги и прологи для слияния с окружающими функциями. Но этот обман легко разоблачить по перекрестным ссылкам, автоматически генерируемым дизассемблером IDA Pro (на подложные прологи/эпилоги перекрестные ссылки отсутствуют!):

Листинг 6. Фрагмент файла, зараженного вирусом UNIX.NuxBe.quilt, «размазывающим» себя по кодовой секции

.text:08000BD9     xor  eax, eax

.text:08000BDB     xor  ebx, ebx

.text:08000BDD     jmp  short loc_8000C01

…

.text:08000C01 loc_8000C01:                   ; CODE XREF: .text:0800BDD↑j

.text:08000C01     mov  ebx, esp

.text:08000C03     mov  eax, 90h

.text:08000C08     int  80h                   ; LINUX - sys_msync

.text:08000C0A     add  esp, 18h

.text:08000C0D     jmp  loc_8000D18

…

.text:08000D18 loc_8000D18:                   ; CODE XREF: .text:08000C0D↑j