Загрузите исследуемый файл в любой HEX-редактор и попробуйте отыскать строку «⌂ELF». В зараженном файле таких строк будет две – одна непосредственно в заголовке, другая – в кодовой секции или секции данных. Только не используйте дизассемблер! Очень многие вирусы преобразуют строку «⌂FELF» в 32-разрядную целочисленную константу 464С457Fh, которая маскирует присутствие вируса, но при переключении в режим дампа сразу же «проявляется» на экране. Ниже приведен внешний вид файла, зараженного вирусом VirTool.Linux.Mmap.443, который использует именно такую методику:

Рисунок 9. Фрагмент файла, зараженного вирусом VirTool.Linux.Mmap.443. В HEX-дампе легко обнаруживается строка «ELF», используемая

вирусом для поиска жертв «своего» типа

Вирус Linux.Winter.343 (также известный под именем Lotek) по этой методике обнаружить не удается, поскольку он использует специальное математическое преобразование, зашифровывая строку «⌂ELF» на лету:

Листинг 13. Фрагмент вируса Lotek, тщательно скрывающего свой интерес к ELF-файлам

.text:08048473     mov  eax, 0B9B3BA81h    ; -"ELF" (минус "ELF")

.text:08048478     add  eax, [ebx]       ; первые четыре байта жертвы

.text:0804847A     jnz  short loc_804846E  ; -> это не ELF

Непосредственное значение B9B3BA81h, соответствующее текстовой строке «Б║│╣» (в приведенном выше листинге оно выделено жирным шрифтом), представляет собой не что иное, как строку «⌂ELF», преобразованную в 32-разрядную константу и умноженную на минус единицу. Складывая полученное значение с четырьмя первыми байтами жертвы, вирус получает ноль, если строки равны, и ненулевое значение в противном случае.