Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VírusW32/Quervar.A
Data em que surgiu:08/08/2012
Tipo:File infector
Incluído na lista "In The Wild"Sim
Nível de danos:Baixo
Nível de distribuição:Médio
Nível de risco:Médio
Versão VDF:7.11.39.130 - sexta-feira, 10 de agosto de 2012
Versão IVDF:7.11.39.130 - sexta-feira, 10 de agosto de 2012

 Vulgarmente Meio de transmissão:
   • Arquivos infectados


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Identificado anteriormente como:
   •  TR/Rogue.kdv.691754.7
   •  TR/Rogue.kdv.691754
   •  TR/Spy.150016.65


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efeitos secundários:
   • Descarrega ficheiros
   • Arquivos infectados
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localização:
   • %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe



Muda o nome dos seguintes ficheiros:

    •  %arquivos infectados%.doc Para: %arquivos infectados%.cod.scr
    •  %arquivos infectados%.docx Para: %arquivos infectados%.cod.scr
    •  %arquivos infectados%.xls Para: %arquivos infectados%.slx.scr
    •  %arquivos infectados%.xlsx Para: %arquivos infectados%.slx.scr



São criados os seguintes ficheiros:

– Ficheiro temporário que poderá ser apagado mais tarde:
   • %APPDATA%\%uma série de caracteres aleatórios%\RCX%número% .tmp

– %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe.lnk
– %APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe.ini Este é um ficheiro de texto não malicioso que contém informação sobre o próprio programa.
%directório de execução do malware%\%ficheiro executado%-- Esta é a versão original do arquivo antes da infecção.

 Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%uma série de caracteres aleatórios%\%uma série de caracteres aleatórios%.exe.lnk"

 Infecção de ficheiros Tipo de infector:

Prepender - O código de vírus é adicionado ao início do arquivo infectado.


Forma:

Este atacante pesquisa ficheiros activamente.

Contém uma ligação para outro malware.


Duração da infecção:

Aproximadamente 150.000 Bytes


Ignora ficheiros que:

Contém uma das seguintes strings no caminho:
   • System Volume Information


Os arquivos a seguir estão infectados:

Por tipo de arquivo:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Informações diversas Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • SayHellotomyLittleFriend


Anti debugging
Confirma se o seguinte programa está a ser executado:
   • taskmgr.exe


 Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Delphi.

Descrição enviada por Andrei Gherman em sexta-feira, 10 de agosto de 2012
Descrição atualizada por Andrei Gherman em sexta-feira, 10 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.