Sup!

Mal kurz überlegen ... nein. Damit dein Virus prinzipiell nicht von einem signaturbasierten Scanner erkannt werden kann, darf es keine Signatur für ihn geben, d.h. jede Kopie müsste anders aussehen, d.h. es müsste unendlich viele Variationen geben.

Okay, unendlich viele Variationen... das wird schwierig.
Aber wenn der Virus den Sourcecode von sich selbst hätte (mit Virusverbreitungsroutine, Compiler, Verschlüsselungsprogramm, Zufallsgenerator drin), dann könnte er sich immer neu kompilieren, und den Sourcecode mit immer neuen Schlüsseln verschlüsseln, so dass er nie gleich aussieht, und den Schlüssel an an einer zufälligen Stelle in seinen eigenen Code einbauen, so dass der Virenscanner theoretisch alle Programmstellen mit allen Programmstellen zu entschlüsseln versuchen müsste, um rauszufinden, ob sich hinter einem Datenhaufen der Virus verbirgt. Das kompilieren würde ebenfalls abhängig von dem Schlüssel funktionieren; im x86 Befehlssatz gibt es soviele äquivalente Befehle und Befehlsfolgen, dass es kein grosses Problem sein sollte, unglaublich viele Varianten des kompilierten Virus zu erzeugen. Statt einem add #3 kann man auch ein sub #-3 machen, oder statt normalen Befehlen FPU, MMX oder SSE Befehle verwenden. Wünschen wir also Lude viel Erfolg... beim Self-Virus basteln... ich seh's schon bei Slashdot: "Mad german hacker codes the perfect virus - billions of x86 machines infected since last friday - no working virus removal tool or scanner available yet..." ;-)

Gruesse,

Bio