DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win32.Driller

Kategorie Virus
Plattform Win32
Beschreibung

Technische Details

Dies ist ein parasitärer hochpolymorpher Win32-Virus pro Prozessspeicher. Der Virus infiziert PE EXE-Dateien mit den Dateinamenerweiterungen .EXE, .SCR und .CPL. Wenn er ausgeführt wird, infiziert der Virus diese Dateien in aktuellen Windows- und Windows-Systemverzeichnissen.

Der Virus bleibt auch als Komponente des infizierten Hostprogramms im Systemspeicher erhalten, erhält Zugriff auf KERNEL-Funktionen und fängt 15 von ihnen ab: Dateisuche, Öffnen, Kopieren, Verschieben von Funktionen usw. Wenn auf eine PE EXE-Datei mit diesen Funktionen zugegriffen wird , das Virus infiziert es. Dadurch infiziert der Virus alle PE-EXE-Programme, auf die das infizierte Host-Programm zugreift, und der Virus ist bis zum Beenden des Host-Programms aktiv.

Beim Infizieren einer Datei verschlüsselt der Virus seinen 8K-Code und wird am Ende der Datei gespeichert. Dann liest der Virus 8K des Opferdateicodes, verschlüsselt ihn und wird auch am Ende der Datei gespeichert. Diese "Höhle" ist dann mit viralem polymorphem Code gefüllt, der den Hauptviruscode entschlüsselt und die Kontrolle dort übergibt:

Dateiinfektion

  � ============= � � ============== � 
  �Header � �Header � 
  � ------------- � � -------------- � <---- Programmeintragsadresse
  �Code Abschnitt � --- � �Polymorph � 
  � � � � Virusroutine � ---- � Zum Hauptviruscode springen
  � � � � -------------- � � 
  � � � � � � 
  � ------------- � � � -------------- � � 
  �Datenabschnitt � � �Datenabschnitt � � 
  � � � � � � 
  � ------------- � � � -------------- � � 
  �etc. � � �etc. � � 
 L ============= - � L ============================
                     � � Verschlüsselt � <----
                     � Virencode � 
                     � � -------------- �  
                    L-> �Verschlüsselt �  
                         �hist Dateicode�  
                        L ============== - 

Die polymorphe Engine des Virus enthält Fehler und in einigen Fällen kann der Virus seinen Code nicht entschlüsseln, was zu einer Standard-Windows-Meldung über einen Fehler in der Anwendung führt.

An Freitagen und abhängig vom Systemdatum ersetzt der Virus StartPage für MS Internet Explorer und Netscape Navigator durch einen Verweis auf die Website:

http://www.thehongersite.com

Der Virus enthält den "Copyright" -Text:

[Virus TUAREG von The Mental Driller | 29A]
– Dieses Virus wurde für den Transport des TUAREG-Motors entwickelt –


Link zum Original