ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Virus.Win32.Mental

Classe Virus
Plataforma Win32
Descrição

Detalhes técnicos

Este é um perigoso vírus Win32 parasita e polimórfico residente na memória por processo. O vírus procura arquivos PE EXE com as extensões .EXE, .SCR e .CPL nos diretórios atuais, do Windows e do Windows e os infecta. Ao infectar um arquivo, o vírus criptografa e grava seu código na seção Relocation (tabela Fixup – geralmente no final do arquivo), e o loop polimórfico de decriptografia é gravado no meio do arquivo na seção Code.

O vírus, em seguida, varre a tabela Importar e engancha as funções de acesso a arquivos (criação, abertura, pesquisa, movimentação, execução de arquivos, etc.). As prostitutas do vírus obtêm um nome de arquivo e executam a rotina de infecção. Como resultado, durante o "tempo de vida" de um aplicativo infectado, o vírus fica ativo, intercepta o acesso aos arquivos EXE do PE e os infecta.

O gerador polimórfico do vírus tem um bug muito sério que, em alguns casos, causa danos a arquivos infectados. Como resultado, esses arquivos não são funcionais e o Windows exibe uma mensagem padrão sobre um erro no aplicativo quando esses arquivos são executados.

O vírus exclui os seguintes arquivos de dados do antivírus: AVP.CRC, ANTI-VIR.DAT, CHKLIST.MS e IVB.NTZ. Ele também não infecta arquivos com a letra 'V' no nome do arquivo, bem como arquivos (programas antivírus) com nomes que começam com: TB, SC, F-, PA, DR.

O vírus possui duas rotinas infectantes que são ativadas no dia 17 de março, junho, setembro e dezembro. A primeira rotina cobre a tela com "NAZKA" colocada em posições aleatórias na tela. A segunda rotina exibe a seguinte caixa de mensagem:

 Vírus NAZKA
 (c) Vírus NAZKA pelo The Mental Driller / 29A

Link para o original