DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Virus.Win32.Etap

Kategorie Virus
Plattform Win32
Beschreibung

Technische Details

Etap ist ein sehr komplexer parasitärer {hoch-polymorpher: Poly} Win32-Virus, der die Verschleierungstechnik des Eintrittspunkts verwendet. Der Virus infiziert ausführbare Windows-Dateien (Win32 PE EXE). Wenn der Virus ausgeführt wird, sucht er nach diesen Dateien und infiziert sie.

Replikation
Der Virus sucht nach ausführbaren Win32 PE-Dateien im aktuellen Verzeichnis und in den Verzeichnissen in den drei Ebenen über dem aktuellen Verzeichnis. Es sucht auch nach ausführbaren Dateien auf verfügbaren Netzlaufwerken und auf Wechselmedien. Wenn der Name eines Verzeichnisses mit "W" beginnt, infiziert es die exe-Dateien, die darin enthalten sind. Der Virus infiziert Dateien nicht, wenn deren Namen mit folgendem beginnen:

 F-
 PA
 SC
 DR
 NEIN

'Etap' speichert auch Dateien mit Namen, die den Buchstaben 'V' enthalten und abhängig von zufälligen Zählerwerten.

Beim Infizieren von Dateien erstellt der Virus seinen Körper neu und verschlüsselt ihn und schreibt ihn in einen der Abschnitte der Host-Datei. Dann sucht und ersetzt es eines der "Alls" zu der "ExitProcess" -Funktion in dem Codeabschnitt des Hosts mit dem "Aufruf" an den Viruscode.

Nutzlast
Abhängig vom Systemdatum und davon, ob die infizierte Hostdatei die Windows-Bibliothek User32.dll-Datei importiert, zeigt der Virus möglicherweise Meldungen an, wie z.

Am 14. Mai:
"Freies Palästina!"

oder

Im März, Juni, September, Dezember, 17 Uhr:
"Metapher V1 vom Mentalen Driller / 29a", oder
"Metapher 1b durch den Mentaldriller / 29a"

Die Buchstaben der letzteren Nachricht können zufällig ausgewählt werden.


Link zum Original