Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:W32/Quervar.A
La date de la découverte:08/08/2012
Type:Infecteur de fichier
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Version VDF:7.11.39.130 - vendredi 10 août 2012
Version IVDF:7.11.39.130 - vendredi 10 août 2012

 Général Méthode de propagation:
   • Contamine les fichiers


Les alias:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Avant, il était détecté comme:
   •  TR/Rogue.kdv.691754.7
   •  TR/Rogue.kdv.691754
   •  TR/Spy.150016.65


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Effets secondaires:
   • Il crée des fichiers
   • Contamine les fichiers
   • Il modifie des registres

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe



Il renom les fichiers suivants:

    •  %fichiers contaminés%.doc en %fichiers contaminés%.cod.scr
    •  %fichiers contaminés%.docx en %fichiers contaminés%.cod.scr
    •  %fichiers contaminés%.xls en %fichiers contaminés%.slx.scr
    •  %fichiers contaminés%.xlsx en %fichiers contaminés%.slx.scr



Les fichiers suivants sont créés:

– Un fichier qui est pour l'utilisation temporaire et qui peut être supprimer après:
   • %APPDATA%\%chaîne de caractères aléatoire%\RCX%nombre%.tmp

– %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe.lnk
– %APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe.ini Ceci est un fichier texte non malveillant qui contient d'information au sujet de soi-même.
%le dossier d'exécution du malware%\%le fichier exécuté%-- Il s'agit de la version d'origine du fichier avant contamination.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe.lnk"

 Infecteur Type de contamination :

Prepender - Le code du virus est ajouté au début du fichier contaminé.


Méthode:

Cet infecteur direct cherche activement des fichiers pour les infecter

Ce virus reste actif dans la mémoire.


Longueur de la contamination :

Environ 150.000 Octets


On ignore les fichiers qui:

Contiennent l'une des chaînes suivantes dans leur chemin d'accès :
   • System Volume Information


Les fichiers suivants sont contaminés :

Par type de fichier :
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Informations divers Gestionnaire d’événements:
Il crée le gestionnaire d’événements suivant:
   • SayHellotomyLittleFriend


Anti debugging
Il vérifie si le programme suivant est en exécution:
   • taskmgr.exe


 Détails de fichier Langage de programmation:
Le fichier a été écrit en Delphi.

Description insérée par Andrei Gherman le vendredi 10 août 2012
Description mise à jour par Andrei Gherman le vendredi 10 août 2012

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.