.rodata:080541BA   jmp  loc_80541E2

.rodata:080541BA ; -----------------------------------------

.rodata:080541BF   db 90h ; Р

.rodata:080541C0 aTooManyReferen db 'Too many references: can',27h,'t splice',0

.rodata:080541E2 ; -----------------------------------------

.rodata:080541E2 loc_80541E2:

.rodata:080541E2   mov  ecx, 1FDh

.rodata:080541E7   int  80h     ; LINUX - sys_creat

.rodata:080541E9   push eax

.rodata:080541EA   mov  eax, 0

.rodata:080541EF   add  [ebx+8049B43h], bh

.rodata:080541F5   mov  ecx, 8049A82h

.rodata:080541FA   jmp  near ptr unk_8054288

.rodata:080541FA ; -----------------------------------------

.rodata:080541FF   db  90h ; Р

.rodata:08054200 aCanTSendAfterS db 'Can',27h,'t send after socket shutdown',0

Однако требуемого количества междустрочных байт удается наскрести далеко не во всех исполняемых файлах, и тогда вирус может прибегнуть к поиску более или менее регулярной области с последующим ее сжатием. В простейшем случае ищется цепочка, состоящая из одинаковых байт, сжимаемая по алгоритму RLE. При этом вирус должен следить за тем, чтобы не нарваться на мину перемещаемых элементов (впрочем, ни один из известных автору вирусов этого не делал). Получив управление и совершив все, что он хотел совершить, вирус забрасывает на стек распаковщик сжатого кода, отвечающий за приведение файла в исходное состояние. Легко видеть, что таким способом заражаются лишь секции, доступные как на запись, так и на чтение (т.е. наиболее соблазнительные секции .rodata и .text уже не подходят, ну разве что вирус отважится изменить их атрибуты, выдавая факт заражения с головой).