WikiDer > Simile (компьютерный вирус)
Псевдонимы | Etap, MetaPHOR |
---|---|
Тип | Компьютерный вирус |
Изоляция | Март 2002 г. |
Операционные системы) затронутый | Майкрософт Виндоус |
Win32 / Simile (также известный как Etap и MetaPHOR) - это метаморфический Компьютерный вирус написано в язык ассемблера для Майкрософт Виндоус.[1] Самая последняя версия вируса была выпущена в начале марта 2002 года. Ее написал вирусописатель Mental Driller. Некоторые из его предыдущих вирусов, например Win95 / Drill (который использовал TUAREG полиморфный движок), оказалось очень сложно обнаружить.
При первом запуске вирус проверяет текущую дату. Если хост-файл (файл, зараженный вирусом) импортирует файл User32.dll, то 17 марта, июня, сентября или декабря отображается сообщение. В зависимости от версии вируса регистр каждой буквы в тексте изменяется случайным образом. 14 мая (годовщина День независимости Израиля), сообщение "Бесплатно Палестина! "будет отображаться, если языковой стандарт системы установлен на иврит.[2]
Затем вирус восстанавливается. Этот метаморфический процесс очень сложен и составляет около 90% кода вируса. После пересборки вирус ищет исполняемые файлы в папках на всех фиксированных и удаленных дисках. Файлы не будут заражены, если они находятся в подпапка глубиной более трех уровней, или если имя папки начинается с буквы W. Для каждого найденного файла существует 50-процентная вероятность, что он будет проигнорирован. Файлы не будут заражены, если они начинаются с F, PA, SC, DR, NO или если где-нибудь в имени файла появляется буква V. Из-за способа, которым выполняется сопоставление имен, имена файлов, содержащие некоторые другие символы, также не заражаются, хотя эта часть не является преднамеренной. Вирус содержит проверки, чтобы избежать заражения файлов "козла" или "приманки" (файлов, созданных антивирусные программы). Процесс заражения использует структуру хозяина, а также случайные факторы, чтобы контролировать размещение тела вируса и дешифратора.
Смотрите также
- Метаморфический код
- ZMist
- Самомодифицирующийся код
- Странная петля
- Полиморфный код
- Хронология компьютерных вирусов и червей
использованная литература
- ^ «W32 / Этап-А». Sophos. Получено 17 февраля 2013.
- ^ "Virus.Wind32.Etap". SecureList. Получено 17 февраля 2013.
внешние ссылки
Эта вредоносное ПО-связанная статья является заглушка. Вы можете помочь Википедии расширяя это. |