Недавно я скачал свежего Dr.Web'а 4.02 и решил протестировать
имеющиеся у меня файлы. В число этих файлов случайно попал список вирусов
из коллекции одного коллекционера. Каково же было мое удивление, когда
Web ругнулся на него, как на COM.CRYPT.Virus. Я решил
заглянуть в этот файл, чтобы найти причину недовольства Web'а. После небольшого
исследования я выяснил, что антивирус ругается не столько на файл, сколько
на его заголовок: на изображение в псевдографике Черепа С Костями.
Существует много различных Fake-файлов (псевдо-вирусов), подозреваемых Web'ом.
Но этот файл мне понравился его прикольным содержимым. Скажу вам честно -
картина впечатляющая: череп, обвиняемый в самораспространении! ;) Представляете
себе: Web сообщает ламеру о подозрении на вирус, ламер заглядывает в файл
и видит в нем изображение черепа! Легкий шок ламеру обеспечен!!!
Не менее забавным, на мой взгляд, является то, что во всем файле нет ни одной
последовательности символов, которую можно было бы интерпретировать как прерывание
(нет ни одного символа с кодом CDh).
Файл, содержащий псевдо-вирус, оказался слишком велик, чтобы включить его в журнал.
Поэтому я обрезал его как можно короче, оставив лишь "подозрительный" заголовок.
Так же я попытался дизасемблировать этот заголовок. Теперь этот прикольный псевдо-вирус
можно скомпилировать в COM-файл.
В свете изложенного хочу обратиться к Игорь Данилову: не пора ли вам пересмотреть алгоритмы своего
эвристического анализатора? А то он глючит направо и налево...