Dziś odpaliłem swojego starego toolsa z 2003 roku i okazało się, że był zainfekowany. Co gorsza, był to infektor plików PE z polimorficznym szyfrowaniem i w dodatku z rootkitem, gdyby nie szybka reakcja miałbym „mielone” ze wszystkich EXE w systemie.
Najbardziej zaskakujące jest to, że infektor mający 13 lat nadal jest kompatybilny z najnowszymi wersjami Windows i bez problemu poradził sobie z infekcją nawet skompresowanych UPX-em plików, mimo wykorzystania mechanizmu OEP obscuring, czyli nadpisania kodu entrypoint, polimorficznym dekryptorem reszty wirusa, doklejonym do ostatniej, rozszerzonej sekcji pliku PE.
Przedstawiam ten koszmar z przeszłości, który jak widać był całkiem solidnie zaprogramowany i przetestowany:
https://en.wikipedia.org/wiki/Sality
PS. Z dezinfekcją poradził sobie systemowy MRT Microsoftu, dedykowany tools do usuwania tego od AVG zawiesił się w trakcie działania, kompatybilność wirusa okazała się większa od dedykowanego antywirusa 😉
Bart znam 2 pracowników AVG i to ludzie, którzy nie rozróżniają czym jest infektor polimorficzny od testu poligraficznego 🙂
@KK: właściwi ludzie na właściwym miejscu 😉
A o VM to slyszeli? 😉