Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusW32/Quervar.A
Data em que surgiu:08/08/2012
Tipo:File infector
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Verso VDF:7.11.39.130 - sexta-feira, 10 de agosto de 2012
Verso IVDF:7.11.39.130 - sexta-feira, 10 de agosto de 2012

 Vulgarmente Meio de transmisso:
    Arquivos infectados


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Dorifel.has
   •  Eset: Win32/Quervar.C

Identificado anteriormente como:
     TR/Rogue.kdv.691754.7
     TR/Rogue.kdv.691754
     TR/Spy.150016.65


Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efeitos secundrios:
   • Descarrega ficheiros
Arquivos infectados
   • Altera o registo do Windows

 Ficheiros Autocopia-se para a seguinte localizao:
   • %APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe



Muda o nome dos seguintes ficheiros:

      %arquivos infectados%.doc Para: %arquivos infectados%.cod.scr
      %arquivos infectados%.docx Para: %arquivos infectados%.cod.scr
      %arquivos infectados%.xls Para: %arquivos infectados%.slx.scr
      %arquivos infectados%.xlsx Para: %arquivos infectados%.slx.scr



So criados os seguintes ficheiros:

– Ficheiro temporrio que poder ser apagado mais tarde:
   • %APPDATA%\%uma srie de caracteres aleatrios%\RCX%nmero% .tmp

%APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe.lnk
%APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe.ini Este um ficheiro de texto no malicioso que contm informao sobre o prprio programa.
%directrio de execuo do malware%\%ficheiro executado%-- Esta a verso original do arquivo antes da infeco.

 Registry (Registo do Windows)  adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   • Load = "%APPDATA%\%uma srie de caracteres aleatrios%\%uma srie de caracteres aleatrios%.exe.lnk"

 Infeco de ficheiros Tipo de infector:

Prepender - O cdigo de vrus adicionado ao incio do arquivo infectado.


Forma:

Este atacante pesquisa ficheiros activamente.

Contm uma ligao para outro malware.


Durao da infeco:

Aproximadamente 150.000 Bytes


Ignora ficheiros que:

Contm uma das seguintes strings no caminho:
   • System Volume Information


Os arquivos a seguir esto infectados:

Por tipo de arquivo:
   • .exe
   • .doc
   • .xls
   • .docx
   • .xlsx

 Informaes diversas Manipulador de eventos:
Cria o seguinte Manipulador de eventos:
   • SayHellotomyLittleFriend


Anti debugging
Confirma se o seguinte programa est a ser executado:
   • taskmgr.exe


 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Delphi.

Descrição enviada por Andrei Gherman em sexta-feira, 10 de agosto de 2012
Descrição atualizada por Andrei Gherman em sexta-feira, 10 de agosto de 2012

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.