PE_QUERVAR.F
Virus:Win32/Quervar.gen!B (Microsoft), Trojan.Exprez.B (Symantec), W32/Quervar-C (Sophos), Virus.Win32.Quervar.a (Sunbelt), W32/Quervar.A (F-Prot), WIN.Worm.Dorifel (ClamAV), Win32/Quervar.E virus (ESET), W32/Quervar.E!tr (Fortinet), Trojan-Dropper.Delf (Ikarus)
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
File infector
Destrutivo:
Não
Criptografado:
In the Wild:
Sim
Visão geral
Detalhes técnicos
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %Application Data%\{random folder name}\{random file name}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Schleust folgende Komponentendateien ein:
- %Application Data%\{random folder name}\{random file name}.exe.lnk
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Erstellt die folgenden Ordner:
- %User Profile%\Application Data\{random folder name}
(Hinweis: %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Autostart-Technik
Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Windows
load = "%Application Data%\{random folder name}\{random filename}.exe.lnk"
(Note: The default value data of the said registry entry is "".)
Dateiinfektion
Infiziert die folgenden Dateitypen:
- exe
- doc
- docx
- xls
- xlsx