Stimmt das könnte möglich sein. Vielleicht ist das eine Jumpadresse in den internen Viruscode weil ja ein teil des infizierten Codes ist nicht verschlüsselt und beinhaltet Funktionen, den Virus in den Arbeitsspeicher zu laden. Werd mir das mal reinziehen.

Hi Leute,

hab den Virus gestern abend disassembliert. Gut 98 % des Codes sind nicht lesbar, da nur Hex-zahlen. Mein Disassembler ist nicht so gut, muss mir mal einen besseren holen. Ansonsten ist es stark zu sehen, wie das Ding aufgebaut ist. Die Datei ist allein 5,5 MB groß. Einen Scanner hab ich auch fast fertig. Brauch nurnoch die PE-Header einer Exe und dann sehe ich mal, ob ich einen Antivirenscanner (ups... Aussage ist nicht korrekt, muss Antivirus heißen ) dafür geproggt krieg. Am Freitag gibt es mehr!

So, der Virenscanner ist fertig. Er scannt die Registry und jede Exe im System, die geöffnet werden kann. So genial... es funktioniert.

Das witzigste ist, dass der Virus die BitBlt-Funktion von Windows mit einem Offset benutzt, um sich selbst hu verschlüsseln. Das heißt, es wird auf jeden 4Byte-Wert ein Offset aufgerechnet mit XOR....