.text:08048353     nop

.text:08048353  start endp

Большинство зараженных файлов выглядит иначе. В частности, стартовый код вируса PolyEngine.Linux.LIME.poly выглядит так:

Листинг 17. Стартовый код вируса PolyEngine.Linux.LIME.poly

.data:080499C1 LIME_END:         ; Alternative name is 'main'

.data:080499C1     mov  eax, 4

.data:080499C6     mov  ebx, 1

.data:080499CB     mov  ecx, offset gen_msg   ; "Generates 50 [LiME] encrypted…"

.data:080499D0     mov  edx, 2Dh

.data:080499D5     int  80h        ; LINUX - sys_write

.data:080499D7     mov  ecx, 32h

Заключение

Несмотря на свой, прямо скажем, далеко не маленький размер, настоящая статья охватила далеко не весь круг изначально намеченных тем. Незатронутыми остались вопросы «прорыва» виртуальной машины интерпретатором, техника выявления Stealth-вирусов и противодействия им, жизненный цикл червей и комплекс мер, направленных на предотвращение возможного вторжения…

Обо всем этом и многом другом мы поговорим в следующий раз, если, конечно, к тому времени эта тема никому не надоест…