Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Очень сложный {полиморфный:Poly} Win32-вирус, использующий для заражения метод “entry-point obscuring”. После активизации ищет PE EXE файлы и заражает их. При запуске вируса он ищет PE EXE-файлы в текущем каталоге, каталоге Windows, системном каталоге Windows и заражает их.

Размножение

Вирус ищет Win32 PE EXE файлы в текущей директории, также в директориях тремя уровнями вложенности выше, доступных сетевых и съёмных носителях и директориях, имя которых начинается с “W”, и заражает их. Вирус не заражает файлы, если их имя начинается со следующих строк:

F-
PA
SC
DR
NO

а также, если имя содержит букву “V” и в зависимости от значения
случайного счётчика.

Во время заражения вирус перестраивает и шифрует своё тело и записывает его в одну из секций заражаемого файла. Затем, он ищет в заражаемом файле один из вызовов системной функции “ExitProcess” и заменяет на вызов вирусного кода.

Проявления

Если заражённый файл использует системную библиотеку User32.dll, то в зависимости от текущей даты вирус показывает при запуске следующие сообщения:

14-го мая:

“Free Palestine!”

17-го марта, июня, сентября, декабря:

“Metaphor V1 by the Mental Driller/29a”, или
“Metaphor 1b by the Mental Driller/29a”

Регистр букв в последнем сообщении выбирается случайно.

Узнай статистику распространения угроз в твоем регионе

Класс	Virus
Платформа	Win32
Описание	Technical Details Очень сложный {полиморфный:Poly} Win32-вирус, использующий для заражения метод “entry-point obscuring”. После активизации ищет PE EXE файлы и заражает их. При запуске вируса он ищет PE EXE-файлы в текущем каталоге, каталоге Windows, системном каталоге Windows и заражает их. Размножение Вирус ищет Win32 PE EXE файлы в текущей директории, также в директориях тремя уровнями вложенности выше, доступных сетевых и съёмных носителях и директориях, имя которых начинается с “W”, и заражает их. Вирус не заражает файлы, если их имя начинается со следующих строк: F- PA SC DR NO а также, если имя содержит букву “V” и в зависимости от значения случайного счётчика. Во время заражения вирус перестраивает и шифрует своё тело и записывает его в одну из секций заражаемого файла. Затем, он ищет в заражаемом файле один из вызовов системной функции “ExitProcess” и заменяет на вызов вирусного кода. Проявления Если заражённый файл использует системную библиотеку User32.dll, то в зависимости от текущей даты вирус показывает при запуске следующие сообщения: 14-го мая: “Free Palestine!” 17-го марта, июня, сентября, декабря: “Metaphor V1 by the Mental Driller/29a”, или “Metaphor 1b by the Mental Driller/29a” Регистр букв в последнем сообщении выбирается случайно.
	Узнай статистику распространения угроз в твоем регионе

Virus.Win32.Etap

Technical Details