31 grudnia 2002

Win32.Etap - infekuje pliki PE EXE

Jest to bardzo skomplikowany, pasożytniczy, polimorficzny wirus Win32. Atakuje pliki wykonywalne Win32 PE EXE. Szkodnik wykorzystuje technologię ukrywania punktu wejściowego.

Rozprzestrzenianie

Wirus wyszukuje i infekuje wykonywalne pliki Win32 PE EXE zapisane w bieżącym folderze oraz w trzech folderach znajdujących się powyżej bieżącego. Szkodnik atakuje także pliki zapisane na dostępnych napędach sieciowych, nośnikach wymienialnych oraz w folderach, których nazwy rozpoczynają się od litery "W". Wirus nie infekuje plików, których nazwy zawierają literę "V" lub rozpoczynają się od następujących ciągów:

  • F-
  • PA
  • SC
  • DR NO

Podczas infekowania robak szyfruje swój kod i zapisuje go do jednej z sekcji atakowanego pliku, po czym umieszcza w miejscu funkcji "ExitProcess" odwołanie do własnego kodu.

Funkcje dodatkowe

W zależności od daty systemowej oraz gdy host zainfekowanego pliku importuje bibliotekę User32.dll, robak może wyświetlać następujące komunikaty:

  • 14 maja:

    "Free Palestine!"

  • 17 marca, czerwca, września oraz grudnia:

    "Metaphor V1 by the Mental Driller/29a", lub
    "Metaphor 1b by the Mental Driller/29a"