Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:W32/Quervar.A
Entdeckt am:08/08/2012
Art:File Infector
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
VDF Version:7.11.39.130 - Freitag, 10. August 2012
IVDF Version:7.11.39.130 - Freitag, 10. August 2012

 Allgemein Verbreitungsmethode:
   • Infiziert Dateien


Aliases:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Wurde zuvor wie folgt erkannt:
   •  TR/Rogue.kdv.691754.7
   •  TR/Rogue.kdv.691754
   •  TR/Spy.150016.65


Betriebsysteme:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Auswirkungen:
   • Erstellt Dateien
   • Infiziert Dateien
   • Änderung an der Registry

 Dateien Eine Kopie seiner selbst wird hier erzeugt:
   • %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe



Folgende Dateien werden umbenannt:

    •  %infizierte Dateien%.doc nach %infizierte Dateien%.cod.scr
    •  %infizierte Dateien%.docx nach %infizierte Dateien%.cod.scr
    •  %infizierte Dateien%.xls nach %infizierte Dateien%.slx.scr
    •  %infizierte Dateien%.xlsx nach %infizierte Dateien%.slx.scr



Es werden folgende Dateien erstellt:

– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
   • %APPDATA%\%zufällige Buchstabenkombination%\RCX%Nummer%.tmp

– %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe.lnk
– %APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe.ini Dies ist eine nicht virulente Textdatei. Sie enthält Informationen über das Programm selbst.
%Verzeichnis in dem die Malware ausgeführt wurde%\%ausgeführte Datei%-- Dies ist die originale Dateiversion vor der Infektion.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%zufällige Buchstabenkombination%\%zufällige Buchstabenkombination%.exe.lnk"

 Dateiinfektion Art des Infektors:

Prepender - Der virulente Code wird vor den Anfang der infizierten Datei angefügt.


Methode:

Dieser direct-action infector sucht aktiv nach Dateien.

Dieser memory-restistent infector bleibt aktiv im Speicher.


Infektionslänge:

etwa 150.000 Bytes


Ignoriert Dateien, die:

eine der folgenden Zeichenfolgen in ihrem Pfad enthalten:
   • System Volume Information


Die folgenden Dateien sind infiziert:

Nach Dateiname:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Diverses Steuerungs Event:
Das folgende Steuerungs Event wird erstellt:
   • SayHellotomyLittleFriend


Anti Debugging
Es wird überprüft ob folgendes Programm aktiv ist:
   • taskmgr.exe


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Delphi geschrieben.

Die Beschreibung wurde erstellt von Andrei Gherman am Freitag, 10. August 2012
Die Beschreibung wurde geändert von Andrei Gherman am Freitag, 10. August 2012

zurück . . . .