Kaspersky Threats

Classe

Plataforma

Descrição

Detalhes técnicos

Etap é um vírus parasítico {polimórfico: Poli} Win32 muito complexo que usa a técnica de obscurecimento do ponto de entrada. O vírus infecta arquivos executáveis do Windows (Win32 PE EXE). Quando executado, o vírus pesquisa esses arquivos e os infecta.

Replicação
O vírus procura arquivos executáveis do Win32 PE no diretório atual e nos diretórios localizados nos três níveis acima do diretório atual. Ele também procura arquivos executáveis em unidades de rede disponíveis e em mídia removível. Se o nome de um diretório começar com "W", ele infectará os arquivos exe contidos nele. O vírus não infecta arquivos se seus nomes começarem com o seguinte:

 F-
 PA
 SC
 DR
 NÃO

O 'Etap' também poupa arquivos com nomes que contenham a letra 'V' e dependendo dos valores aleatórios do contador.

Ao infectar arquivos, o vírus reconstrói e criptografa seu corpo e o grava em uma das seções do arquivo host. Em seguida, ele procura e substitui um dos "alls" para a função "ExitProcess" na seção de código do host com a 'chamada' para o código viral.

Carga útil
Dependendo da data do sistema e se o arquivo host infectado importa o arquivo User32.dll da biblioteca do Windows, o vírus pode exibir mensagens, como:

Em 14 de maio:
"Palestina livre!"

ou

Em março, junho, setembro, dezembro, 17h:
"Metáfora V1 pelo perfurador mental / 29a", ou
"Metáfora 1b pelo perfurador mental / 29a"

As últimas mensagens da mensagem podem ser selecionadas aleatoriamente.

Link para o original

Classe	Virus
Plataforma	Win32
Descrição	Detalhes técnicos Etap é um vírus parasítico {polimórfico: Poli} Win32 muito complexo que usa a técnica de obscurecimento do ponto de entrada. O vírus infecta arquivos executáveis do Windows (Win32 PE EXE). Quando executado, o vírus pesquisa esses arquivos e os infecta. Replicação O vírus procura arquivos executáveis do Win32 PE no diretório atual e nos diretórios localizados nos três níveis acima do diretório atual. Ele também procura arquivos executáveis em unidades de rede disponíveis e em mídia removível. Se o nome de um diretório começar com "W", ele infectará os arquivos exe contidos nele. O vírus não infecta arquivos se seus nomes começarem com o seguinte: F- PA SC DR NÃO O 'Etap' também poupa arquivos com nomes que contenham a letra 'V' e dependendo dos valores aleatórios do contador. Ao infectar arquivos, o vírus reconstrói e criptografa seu corpo e o grava em uma das seções do arquivo host. Em seguida, ele procura e substitui um dos "alls" para a função "ExitProcess" na seção de código do host com a 'chamada' para o código viral. Carga útil Dependendo da data do sistema e se o arquivo host infectado importa o arquivo User32.dll da biblioteca do Windows, o vírus pode exibir mensagens, como: Em 14 de maio: "Palestina livre!" ou Em março, junho, setembro, dezembro, 17h: "Metáfora V1 pelo perfurador mental / 29a", ou "Metáfora 1b pelo perfurador mental / 29a" As últimas mensagens da mensagem podem ser selecionadas aleatoriamente.
	Link para o original

Virus.Win32.Etap

Detalhes técnicos