Win32.Evol (rodzina)

Jest to rodzina polimorficznych, rezyduj膮cych w pamieci wirus贸w systemu Win32. Podczas uruchamiania zainfekowanego pliku wirusy aktywuj膮 procedure infekuj膮c膮 tworz膮c oddzielny proces w pamieci komputera. Proces rezydentny infekuje uruchamiane pliki a偶 do momentu zamkniecia programu, kt贸ry go wywo艂a艂.

Wirusy te infekuj膮 pliki wykonywalne Win32 PE o rozszerzeniach .EXE i .SRC. (przede wszystkim z katalogu Windows oraz jego podkatalog贸w). Nast臋pnie przeszukiwane s膮 wszystkie sta艂e dyski komputera, a znalezione pliki s膮 infekowane. Podobna procedura jest wykonywana na wszystkich zmapowanych zasobach sieciowych.

Dzi臋ki temu wirusy te mog膮 zainfekowa膰 praktycznie wszystkie pliki wykonywalne znajduj膮ce si臋 na komputerze, jak r贸wnie偶 posiadaj膮 zdolno艣膰 rozprzestrzeniania si臋 w sieci lokalnej.

Przed infekcj膮 wirusy sprawdzaj膮 nazw臋 ka偶dego pliku i nie infekuj膮 program贸w antywirusowych: ALERT, AMON, AVP, F-PROT, NAV, SCAN.

Podczas infekcji wirusy odczytuj膮 adres funkcji wej艣cia pliku, przesuwaj膮 fragment oryginalnego kody na koniec pliku i dopisuj膮 sw贸j kod w zwolnionym miejscu. By zwr贸ci膰 kontrol臋 do programu g艂贸wnego, odwracaj膮 procedur臋 infekcji i przesuwaj膮 oryginalny kod z ko艅ca pliku do miejsca w kt贸rym znajduje si臋 funkcja wej艣cia pliku.

Wirusy u偶ywaj膮 skomplikowanego mechanizmu polimorficznego, kt贸ry w niekt贸rych przypadkach odbudowuje kod wirusa. W r贸偶nych, infekowanych plikach znajduj膮 si臋 r贸偶ne wersje instrukcji asemblera lub nawet zestawy instrukcji wykonuj膮ce te same czynno艣ci. W rezultacie wirus nie jest zaszyfrowany, ale nie posiada wystarczaj膮co d艂ugiego fragmentu sta艂ego kodu, kt贸ry umo偶liwia艂by jego 艂atw膮, jednoznaczn膮 identyfikacj臋. Nawet d艂ugo艣膰 kodu wirusa mo偶e ulega膰 zmianom podczas infekcji kolejnych plik贸w