CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Virus.Win32.Etap

Classe Virus
Plateforme Win32
Description

Détails techniques

Etap est un virus parasitaire très complexe {high-polymorphic: Poly} Win32 qui utilise la technique d'obscurcissement du point d'entrée. Le virus infecte les fichiers exécutables Windows (Win32 PE EXE). Lorsqu'il est exécuté, le virus recherche ces fichiers et les infecte.

Réplication
Le virus recherche les fichiers exécutables Win32 PE dans le répertoire en cours et dans les répertoires situés dans les trois niveaux au-dessus du répertoire en cours. Il recherche également les fichiers exécutables sur les lecteurs réseau disponibles et sur les supports amovibles. Si le nom d'un répertoire commence par "W", il infecte les fichiers exe qu'il contient. Le virus n'infecte pas les fichiers si leur nom commence par les éléments suivants:

 F-
 Pennsylvanie
 SC
 DR
 NON

'Etap' permet également d'épargner les fichiers dont le nom contient la lettre 'V' et qui dépend de valeurs de compteurs aléatoires.

Pendant l'infection des fichiers, le virus reconstruit et chiffre son corps et l'écrit dans l'une des sections du fichier hôte. Ensuite, il recherche et remplace l'un des «alls» dans la fonction «ExitProcess» dans la section de code de l'hôte avec «l'appel» au code viral.

Charge utile
Selon la date du système et si le fichier hôte infecté importe le fichier User32.dll de la bibliothèque Windows, le virus peut afficher des messages, tels que:

Le 14 mai:
"Palestine libre!"

ou

Mars, Juin, Septembre, Décembre, 17h:
"Métaphore V1 par le Mental Driller / 29a", ou
"Métaphore 1b par le Mental Driller / 29a"

Les lettres du dernier message peuvent être choisies au hasard.


Lien vers l'original