Normalmente, la sección .text es la primera sección luego del PE Header, no la ultima.
Fijate en la siguiente captura de CFF explorer sobre calc.exe de un XP SP3:


La sección .text es la primera despues del header. En el archivo, está en el offset 0x400 (Raw Address) y tiene un size de 0x12800.

Si tu virus se inserta al final, deberás asegurarte de que no sobreescriba nada. Ahora, si quieres hacer mas grande la sección .text, ahi hay otro problema pues deberas agrandar la sección, escribirla con los datos actualizados, correr todas las otras secciones, y corregir todo los demás campos que están relacionados a un offset específico. Esto ultimo es muy complejo, por lo que se opta por agregar una nueva sección o buscar algun codecave para insertar tu virus.

En google hay muchos samples sobre inline-patching. Y sobre virus, el mejor lugar es este.


Si, ya veo...   

Saludos!

Haz hecho el curso de intro a Olly de Ricardo Narvaja? Porque lo que preguntas es MUY basico...

Saludos!

Usando el buscador de la web de ricardo puedes encontrar tutoriales sobre reflector y herramientas acordes.

Saludos!

Hola!

COMRaider te servirá para eso y mucho más...

Saludos!

Hola!

Te recomiendo comenzar por aqui.

Saludos!

Hola!

Para ver los accesos al archivo puedes usar Filemon (aunque ahora se llama Process Monitor).

Luego, si el programa es un .net, puedes abrirlo con Reflector y ver el codigo fuente.
Si esta compilado en x86, puedes usar Olly para depurar la parte donde accede y lee el archivo.
Si esta en x64, windbg o el dbg que prefieras.

IDA siempre es una excelente opcion para analisis estatico (aunque tambien puedes debuggear con el).

Saludos!

Shellcode es esto.

Saludos!

Hola!

Bueno, anteriormente te di un link con ideas básicas, pero ahora te voy a dar una idea un poco mas concisa:

Para insertar tu virus en el exe, puedes agregarle una sección al mismo (busca cómo agregar secciones al un exe pe, hay muchos ejemplos).
Luego de insertar la sección, le colocas el código de la viruta dentro y redireccionas el EntryPoint (EP) del EXE al punto de entrada de tu virus. Al final de tu virus, deberías tener un JMP al EP original, asi el ejecutable funcionaría como si nada hubiera pasado.

Esta técnica la conozco como inline-patching y hay muchas variantes sobre la misma.

Para que tengas algo con lo cual empezar a ver el tema: existe una aplicacion llamada "Topo", la cual te permite insertarle a un ejecutable una sección y redirigir el EP a la misma. Puedes usar la herramienta para analizar con un editor hexa los cambios que hace.
Aunque tambien podría destacar que, si el codigo del virtus es pequeño y el ejecutable tiene espacio libre al final de la/s sección/es ejecutable/s, no sería necesario agregar una sección, sinó copiar el virus al lugar libre y redireccionar el EP al mismo.


En fin, hay muchas variantes en este tema, como habrás visto en el link que te pasé anteriormente.

Saludos!

Hola!

Aqui tienes muchas ideas de lo que deberías hacer.

Ahora, el cómo, creo que lo debes resolver por tus medios. Sinó no aprederás...

Saludos!

PD: este post debería ir en Analisis y diseño de malware

Bueno, también podrías usar un driver, pero nunca he hecho uno.

Lo poco que conozco sobre estos temas, en el campo de drivers, es vJoy.

No es lo que quieres, pero quizás pueda guiarte hacia lo que necesitas... 

Saludos!