病毒:W32/Quervar.A
发现日期:13/12/2012
类型:文件感染器
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度
破坏 / 损害程度:中等程度
VDF 版本:7.11.53.216 - 2012년 12월 13일 목요일
IVDF 版本:7.11.53.216 - 2012년 12월 13일 목요일

 况概描述 传播方法:
   • 感染文件


别名:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

它之前被检测为:
   •  TR/Rogue.kdv.691754.7
   •  TR/Rogue.kdv.691754
   •  TR/Spy.150016.65


平台/操作系统:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


副作用:
   • 植入文件
   • 感染文件
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %APPDATA%\%随机字符串%\%随机字符串%.exe



它会重命名以下文件:

    •  %受感染文件%.doc 进入 %受感染文件%.cod.scr
    •  %受感染文件%.docx 进入 %受感染文件%.cod.scr
    •  %受感染文件%.xls 进入 %受感染文件%.slx.scr
    •  %受感染文件%.xlsx 进入 %受感染文件%.slx.scr



创建以下文件:

– 供临时使用且之后可删除的文件:
   • %APPDATA%\%随机字符串%\RCX%数字%.tmp

– %APPDATA%\%随机字符串%\%随机字符串%.exe.lnk
– %APPDATA%\%随机字符串%\%随机字符串%.exe.ini 这是一个无恶意的文本文件,包含有关程序本身的信息。
%恶意软件执行目录%\%执行的文件%-- 这是文件被感染前的原始版本。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%随机字符串%\%随机字符串%.exe.lnk"

 文件感染 感染器类型:

前置器 - 病毒代码添加在受感染文件的开头。


方法:

此直接操作感染器会主动搜索文件。

此内存驻留感染程序仍然在内存中处于活动状态。


感染长度:

近似 150.000 字节


忽略以下文件:

路径中包含以下任意字符串:
   • System Volume Information


以下文件已被感染:

按文件类型:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 其他 事件处理程序 (Event Handler):
它会创建事件处理程序:
   • SayHellotomyLittleFriend


防调试
它会检查以下程序是否在运行:
   • taskmgr.exe


 文件详细信息 编程语言:
 该恶意软件程序是用 Delphi 编写的。

설명 삽입자 Andrei Gherman   2012년 8월 10일 금요일
설명 업데이트 Andrei Gherman   2012년 8월 10일 금요일

뒤로 . . . .

© 2013 Avira Operations GmbH & Co. KG. All rights reserved.

내 계정

https:// 이 창은 보안을 위해 암호화되었습니다.