¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Quervar.A
Descubierto:08/08/2012
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Versión del VDF:7.11.39.130 - viernes, 10 de agosto de 2012
Versión del IVDF:7.11.39.130 - viernes, 10 de agosto de 2012

 General Método de propagación:
   • Infecta archivos


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Identificado anteriormente como:
   •  TR/Rogue.kdv.691754.7
   •  TR/Rogue.kdv.691754
   •  TR/Spy.150016.65


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Infecta archivos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Renombra los siguientes ficheros:

    •  %archivos infectados%.doc en %archivos infectados%.cod.scr
    •  %archivos infectados%.docx en %archivos infectados%.cod.scr
    •  %archivos infectados%.xls en %archivos infectados%.slx.scr
    •  %archivos infectados%.xlsx en %archivos infectados%.slx.scr



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %APPDATA%\%serie de caracteres aleatorios%\RCX%número%.tmp

– %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe.lnk
– %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe.ini Este es un fichero sin código viral y contiene información acerca del programa en sí.
%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%-- Éste es la versión original del archivo antes de la infección.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe.lnk"

 Infección de ficheros Tipo de infector:

Prefijador: el código de virus se ha añadido al archivo infectado.


Método:

Este infector busca ficheros para infectar.

Este virus queda activo en la memoria.


Duración de infección:

Aproximadamente 150.000 Bytes


Ignora los ficheros que:

Contienen una de las siguientes cadenas en la ruta:
   • System Volume Information


Los siguientes archivos se han infectado:

Mediante tipo de archivo:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Informaciones diversas Controlador de eventos:
Crea el siguiente controlador de eventos:
   • SayHellotomyLittleFriend


Técnicas anti-debugging
Verifica si está funcionando el siguiente programa:
   • taskmgr.exe


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Descripción insertada por Andrei Gherman el viernes, 10 de agosto de 2012
Descripción actualizada por Andrei Gherman el viernes, 10 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.