¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Quervar.A
Descubierto:08/08/2012
Tipo:Infector de ficheros
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Versin del VDF:7.11.39.130 - viernes 10 de agosto de 2012
Versin del IVDF:7.11.39.130 - viernes 10 de agosto de 2012

 General Mtodo de propagacin:
    Infecta archivos


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Identificado anteriormente como:
     TR/Rogue.kdv.691754.7
     TR/Rogue.kdv.691754
     TR/Spy.150016.65


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Suelta ficheros
Infecta archivos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Renombra los siguientes ficheros:

      %archivos infectados%.doc en %archivos infectados%.cod.scr
      %archivos infectados%.docx en %archivos infectados%.cod.scr
      %archivos infectados%.xls en %archivos infectados%.slx.scr
      %archivos infectados%.xlsx en %archivos infectados%.slx.scr



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado despus:
   • %APPDATA%\%serie de caracteres aleatorios%\RCX%nmero%.tmp

%APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe.lnk
%APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe.ini Este es un fichero sin cdigo viral y contiene informacin acerca del programa en s.
%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%-- ste es la versin original del archivo antes de la infeccin.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe.lnk"

 Infeccin de ficheros Tipo de infector:

Prefijador: el cdigo de virus se ha aadido al archivo infectado.


Mtodo:

Este infector busca ficheros para infectar.

Este virus queda activo en la memoria.


Duracin de infeccin:

Aproximadamente 150.000 Bytes


Ignora los ficheros que:

Contienen una de las siguientes cadenas en la ruta:
   • System Volume Information


Los siguientes archivos se han infectado:

Mediante tipo de archivo:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Informaciones diversas Controlador de eventos:
Crea el siguiente controlador de eventos:
   • SayHellotomyLittleFriend


Tcnicas anti-debugging
Verifica si est funcionando el siguiente programa:
   • taskmgr.exe


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Delphi.

Descripción insertada por Andrei Gherman el viernes 10 de agosto de 2012
Descripción actualizada por Andrei Gherman el viernes 10 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.