|
Resulta extraño como comprobar que tantas firmas antivirus se hayan encontrado con tantos problemas ante un virus tan sencillo como Matyas (o Corvirus). Un virus aparentemente sencillo ha puesto en problemas a más de una firma, que incluso se han llegado a ver incapaces de reproducir el virus, pero este no contenía ningún error de programación ni de diseño.
El problema proviene de la propia naturaleza de Corvirus, este es un infector por acción directa de EXEs con formato PE que se encuentren en el directorio actual. No importa ni obtiene APIs, sino que tiene todas las direcciones de las funciones necesarias en "hardcoding", o lo que es lo mismo, el virus lleva en su código las direcciones fijas de las API en Windows98, plataforma para la que fue creado, por lo que no es 100% compatible Win32. Esto es lo que debió causar confusión a algunos AVs que hablaban de que el fichero estaba corrupto y/o no podían reproducirlo. Sin duda por que no lo probaban en Win98 donde funcionaba sin problemas.
Los virus Win32 suelen llamar a GetProcAddress para obtener la dirección actual de una determinada API, como por ejemplo "CreateFileA", para así ser compatible con todas las plataformas Win32.
|
