Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Quervar.A
Entdeckt am:08/08/2012
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
VDF Version:7.11.39.130 - Freitag, 10. August 2012
IVDF Version:7.11.39.130 - Freitag, 10. August 2012

 Allgemein Verbreitungsmethode:
    Infiziert Dateien


Aliases:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Wurde zuvor wie folgt erkannt:
     TR/Rogue.kdv.691754.7
     TR/Rogue.kdv.691754
     TR/Spy.150016.65


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Auswirkungen:
   • Erstellt Dateien
Infiziert Dateien
   • nderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe



Folgende Dateien werden umbenannt:

      %infizierte Dateien%.doc nach %infizierte Dateien%.cod.scr
      %infizierte Dateien%.docx nach %infizierte Dateien%.cod.scr
      %infizierte Dateien%.xls nach %infizierte Dateien%.slx.scr
      %infizierte Dateien%.xlsx nach %infizierte Dateien%.slx.scr



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %APPDATA%\%zufllige Buchstabenkombination%\RCX%Nummer%.tmp

%APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe.lnk
%APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe.ini Dies ist eine nicht virulente Textdatei. Sie enthlt Informationen ber das Programm selbst.
%Verzeichnis in dem die Malware ausgefhrt wurde%\%ausgefhrte Datei%-- Dies ist die originale Dateiversion vor der Infektion.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%zufllige Buchstabenkombination%\%zufllige Buchstabenkombination%.exe.lnk"

 Dateiinfektion Art des Infektors:

Prepender - Der virulente Code wird vor den Anfang der infizierten Datei angefgt.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslnge:

etwa 150.000 Bytes


Ignoriert Dateien, die:

eine der folgenden Zeichenfolgen in ihrem Pfad enthalten:
   • System Volume Information


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Diverses Steuerungs Event:
Das folgende Steuerungs Event wird erstellt:
   • SayHellotomyLittleFriend


Anti Debugging
Es wird berprft ob folgendes Programm aktiv ist:
   • taskmgr.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 10. August 2012
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 10. August 2012

zurück . . . .