ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win32.Driller

Classe Virus
Plataforma Win32
Descrição

Detalhes técnicos

Este é um vírus Win32 altamente polimórfico parasita residente na memória por processo. O vírus infecta arquivos PE EXE que possuem extensões de nome de arquivo .EXE, .SCR e .CPL. Quando executado, o vírus infecta esses arquivos nos diretórios atuais do sistema Windows e Windows.

O vírus também permanece na memória do sistema como um componente do programa hospedeiro infectado, ganha acesso às funções do KERNEL e intercepta 15 delas: pesquisa de arquivos, abertura, cópia, funções móveis, etc. Quando um arquivo EXE PE é acessado por essas funções , o vírus infecta. Como resultado, o vírus infectará todos os programas PE EXE acessados ​​pelo programa host infectado, e o vírus ficará ativo até o momento em que o programa host sair.

Ao infectar um arquivo, o vírus criptografa seu código 8K e é armazenado no final do arquivo. Em seguida, o vírus lê 8K do código do arquivo da vítima, criptografa-o e também é salvo no final do arquivo. Essa "caverna" é então preenchida com um código polimórfico de vírus que descriptografa o código de vírus principal e passa o controle para lá:

Infecção por arquivo

  � ============= � � ============== � 
  �Header � �Header � 
  � ------------- � � -------------- � <---- Endereço de entrada do programa
  �Seção de código � --- � �Pimimórfico � 
  � � � � rotina de vírus � ---- � Ir para o código principal do vírus
 ---- � � � -------------- � � 
  � � � � � � 
  � ------------- � � � -------------- � � 
  �Data section � � �Data section � � 
  � � � � � � 
  � ------------- � � � -------------- � � 
  �etc. � � �etc. � � 
 L ============= - � L ============== - � 
                     � �Criptografado � <----
                     � � código de vírus � 
                     � � -------------- �  
                    L-> � criptografado �  
                        Filehist file code�  
                        L ============== - 

O mecanismo polimórfico do vírus contém erros e, em alguns casos, o vírus não pode descriptografar seu código, causando uma mensagem padrão do Windows sobre um erro no aplicativo.

Às sextas-feiras, e dependendo da data do sistema, o vírus substitui o StartPage para MS Internet Explorer e Netscape Navigator por uma referência ao site:

http://www.thehungersite.com

O vírus contém o texto "copyright":

[Virus TUAREG pelo The Mental Driller | 29A]
– Este vírus foi projetado para transportar o motor TUAREG –


Link para o original