Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Etap est un virus parasitaire très complexe {high-polymorphic: Poly} Win32 qui utilise la technique d'obscurcissement du point d'entrée. Le virus infecte les fichiers exécutables Windows (Win32 PE EXE). Lorsqu'il est exécuté, le virus recherche ces fichiers et les infecte.

Réplication
Le virus recherche les fichiers exécutables Win32 PE dans le répertoire en cours et dans les répertoires situés dans les trois niveaux au-dessus du répertoire en cours. Il recherche également les fichiers exécutables sur les lecteurs réseau disponibles et sur les supports amovibles. Si le nom d'un répertoire commence par "W", il infecte les fichiers exe qu'il contient. Le virus n'infecte pas les fichiers si leur nom commence par les éléments suivants:

 F-
 Pennsylvanie
 SC
 DR
 NON

'Etap' permet également d'épargner les fichiers dont le nom contient la lettre 'V' et qui dépend de valeurs de compteurs aléatoires.

Pendant l'infection des fichiers, le virus reconstruit et chiffre son corps et l'écrit dans l'une des sections du fichier hôte. Ensuite, il recherche et remplace l'un des «alls» dans la fonction «ExitProcess» dans la section de code de l'hôte avec «l'appel» au code viral.

Charge utile
Selon la date du système et si le fichier hôte infecté importe le fichier User32.dll de la bibliothèque Windows, le virus peut afficher des messages, tels que:

Le 14 mai:
"Palestine libre!"

ou

Mars, Juin, Septembre, Décembre, 17h:
"Métaphore V1 par le Mental Driller / 29a", ou
"Métaphore 1b par le Mental Driller / 29a"

Les lettres du dernier message peuvent être choisies au hasard.

Lien vers l'original

Classe	Virus
Plateforme	Win32
Description	Détails techniques Etap est un virus parasitaire très complexe {high-polymorphic: Poly} Win32 qui utilise la technique d'obscurcissement du point d'entrée. Le virus infecte les fichiers exécutables Windows (Win32 PE EXE). Lorsqu'il est exécuté, le virus recherche ces fichiers et les infecte. Réplication Le virus recherche les fichiers exécutables Win32 PE dans le répertoire en cours et dans les répertoires situés dans les trois niveaux au-dessus du répertoire en cours. Il recherche également les fichiers exécutables sur les lecteurs réseau disponibles et sur les supports amovibles. Si le nom d'un répertoire commence par "W", il infecte les fichiers exe qu'il contient. Le virus n'infecte pas les fichiers si leur nom commence par les éléments suivants: F- Pennsylvanie SC DR NON 'Etap' permet également d'épargner les fichiers dont le nom contient la lettre 'V' et qui dépend de valeurs de compteurs aléatoires. Pendant l'infection des fichiers, le virus reconstruit et chiffre son corps et l'écrit dans l'une des sections du fichier hôte. Ensuite, il recherche et remplace l'un des «alls» dans la fonction «ExitProcess» dans la section de code de l'hôte avec «l'appel» au code viral. Charge utile Selon la date du système et si le fichier hôte infecté importe le fichier User32.dll de la bibliothèque Windows, le virus peut afficher des messages, tels que: Le 14 mai: "Palestine libre!" ou Mars, Juin, Septembre, Décembre, 17h: "Métaphore V1 par le Mental Driller / 29a", ou "Métaphore 1b par le Mental Driller / 29a" Les lettres du dernier message peuvent être choisies au hasard.
	Lien vers l'original

Virus.Win32.Etap

Détails techniques