Класс | Virus |
Платформа | Win32 |
Описание |
Technical DetailsОчень сложный {полиморфный:Poly} Win32-вирус, использующий для заражения метод «entry-point obscuring». После активизации ищет PE EXE файлы и заражает их. При запуске вируса он ищет PE EXE-файлы в текущем каталоге, каталоге Windows, системном каталоге Windows и заражает их.
Вирус ищет Win32 PE EXE файлы в текущей директории, также в директориях тремя уровнями вложенности выше, доступных сетевых и съёмных носителях и директориях, имя которых начинается с «W», и заражает их. Вирус не заражает файлы, если их имя начинается со следующих строк:
а также, если имя содержит букву «V» и в зависимости от значения Во время заражения вирус перестраивает и шифрует своё тело и записывает его в одну из секций заражаемого файла. Затем, он ищет в заражаемом файле один из вызовов системной функции «ExitProcess» и заменяет на вызов вирусного кода.
Если заражённый файл использует системную библиотеку User32.dll, то в зависимости от текущей даты вирус показывает при запуске следующие сообщения: 14-го мая:
17-го марта, июня, сентября, декабря:
Регистр букв в последнем сообщении выбирается случайно. |
Узнай статистику распространения угроз в твоем регионе |