Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Etap ist ein sehr komplexer parasitärer {hoch-polymorpher: Poly} Win32-Virus, der die Verschleierungstechnik des Eintrittspunkts verwendet. Der Virus infiziert ausführbare Windows-Dateien (Win32 PE EXE). Wenn der Virus ausgeführt wird, sucht er nach diesen Dateien und infiziert sie.

Replikation
Der Virus sucht nach ausführbaren Win32 PE-Dateien im aktuellen Verzeichnis und in den Verzeichnissen in den drei Ebenen über dem aktuellen Verzeichnis. Es sucht auch nach ausführbaren Dateien auf verfügbaren Netzlaufwerken und auf Wechselmedien. Wenn der Name eines Verzeichnisses mit "W" beginnt, infiziert es die exe-Dateien, die darin enthalten sind. Der Virus infiziert Dateien nicht, wenn deren Namen mit folgendem beginnen:

 F- PA SC DR NEIN

'Etap' speichert auch Dateien mit Namen, die den Buchstaben 'V' enthalten und abhängig von zufälligen Zählerwerten.

Beim Infizieren von Dateien erstellt der Virus seinen Körper neu und verschlüsselt ihn und schreibt ihn in einen der Abschnitte der Host-Datei. Dann sucht und ersetzt es eines der "Alls" zu der "ExitProcess" -Funktion in dem Codeabschnitt des Hosts mit dem "Aufruf" an den Viruscode.

Nutzlast
Abhängig vom Systemdatum und davon, ob die infizierte Hostdatei die Windows-Bibliothek User32.dll-Datei importiert, zeigt der Virus möglicherweise Meldungen an, wie z.

Am 14. Mai:
"Freies Palästina!"

oder

Im März, Juni, September, Dezember, 17 Uhr:
"Metapher V1 vom Mentalen Driller / 29a", oder
"Metapher 1b durch den Mentaldriller / 29a"

Die Buchstaben der letzteren Nachricht können zufällig ausgewählt werden.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Virus
Plattform	Win32
Beschreibung	Technische Details Etap ist ein sehr komplexer parasitärer {hoch-polymorpher: Poly} Win32-Virus, der die Verschleierungstechnik des Eintrittspunkts verwendet. Der Virus infiziert ausführbare Windows-Dateien (Win32 PE EXE). Wenn der Virus ausgeführt wird, sucht er nach diesen Dateien und infiziert sie. Replikation Der Virus sucht nach ausführbaren Win32 PE-Dateien im aktuellen Verzeichnis und in den Verzeichnissen in den drei Ebenen über dem aktuellen Verzeichnis. Es sucht auch nach ausführbaren Dateien auf verfügbaren Netzlaufwerken und auf Wechselmedien. Wenn der Name eines Verzeichnisses mit "W" beginnt, infiziert es die exe-Dateien, die darin enthalten sind. Der Virus infiziert Dateien nicht, wenn deren Namen mit folgendem beginnen: F- PA SC DR NEIN 'Etap' speichert auch Dateien mit Namen, die den Buchstaben 'V' enthalten und abhängig von zufälligen Zählerwerten. Beim Infizieren von Dateien erstellt der Virus seinen Körper neu und verschlüsselt ihn und schreibt ihn in einen der Abschnitte der Host-Datei. Dann sucht und ersetzt es eines der "Alls" zu der "ExitProcess" -Funktion in dem Codeabschnitt des Hosts mit dem "Aufruf" an den Viruscode. Nutzlast Abhängig vom Systemdatum und davon, ob die infizierte Hostdatei die Windows-Bibliothek User32.dll-Datei importiert, zeigt der Virus möglicherweise Meldungen an, wie z. Am 14. Mai: "Freies Palästina!" oder Im März, Juni, September, Dezember, 17 Uhr: "Metapher V1 vom Mentalen Driller / 29a", oder "Metapher 1b durch den Mentaldriller / 29a" Die Buchstaben der letzteren Nachricht können zufällig ausgewählt werden.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Virus.Win32.Etap

Technische Details