ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Virus.Win32.Etap

Clase Virus
Plataforma Win32
Descripción

Detalles técnicos

Etap es un virus parásito muy complejo {high-polymorphic: Poly} Win32 que utiliza la técnica de oscurecimiento del punto de entrada. El virus infecta los archivos ejecutables de Windows (Win32 PE EXE). Cuando ejecuta el virus, busca estos archivos y los infecta.

Replicación
El virus busca archivos ejecutables de Win32 PE en el directorio actual y en los directorios ubicados en los tres niveles sobre el directorio actual. También busca archivos ejecutables en unidades de red disponibles y en medios extraíbles. Si el nombre de un directorio comienza con "W", infecta los archivos exe contenidos en él. El virus no infecta los archivos si sus nombres comienzan con lo siguiente:

 F-
 Pensilvania
 CAROLINA DEL SUR
 DR
 NO

'Etap' también almacena archivos con nombres que contienen la letra 'V' y según los valores de contador aleatorios.

Al infectar archivos, el virus reconstruye y cifra su cuerpo y lo escribe en una de las secciones del archivo host. Luego, busca y reemplaza una de las 'cosas' de la función "ExitProcess" en la sección de códigos del host con la 'llamada' al código viral.

Carga útil
Dependiendo de la fecha del sistema y si el archivo de host infectado importa la biblioteca de Windows archivo User32.dll, el virus puede mostrar mensajes, como:

El 14 de mayo:
"¡Palestina libre!"

o

En marzo, junio, septiembre, diciembre, 17h:
"Metáfora V1 del taladro mental / 29a", o
"Metáfora 1b por el perforador mental / 29a"

Las letras del último mensaje se pueden seleccionar al azar.


Enlace al original