Спасибо :o

Kaspersky Lab Interceptor and Filter.

Легальный (небитый, незараженный) файл должен обязательно иметь действитель-
ную цифровую подпись Kaspersky Labs Inc., на базе ключа, выданного VeriSign-ом.
Проверить подлинность файла можно в закладке цифровые подписи свойств файла.

Ничего особенно, перехват и анализ API-вызовов относящихся к созданию процессов,
потоков, открытия файлов, ключей реестра, эвристический анализ, и анализ по базе,
фильтрация на основе правил, выполнение проверок по расписанию и прочая мелочь.

Нельзя объять необъятное ;) А вот найти и цепко объять воина дzена - вполне реально ;)
Мысль хорошая, но при условии, что хорошо знаешь архитектуру процессоров Intel x86,
глубоко понимаешь защищенный режим, страничную адресацию, ну и прочие "мелочи".

P.S. Мну вот другой зверек уже года 3 как привлекает внимание, шифруется под драйвер
sptd.sys - SCSI Pass-Through Direct driver, поставляемый с различным софтом типа Alcohol.

PavelAR, спасибо за пояснения. Цифровую подпись нашла, подписано "Kaspersky Lab.".

Сегодня, делая доклад на "методологическом семинаре..." подцепил того самого червя, который помещает папки флешки в папку с именем ".." (две точки), не видимую через проводник. Последовало банальное уничтожение вируса с помощью Microsoft Security и дальнейшее копирование файлов на флешку. Это к вопросу о необходимости держать нужные файлы на двух-трех носителях, дабы не возиться с восстановлением информации.