PE_QUERVAR.A

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ウイルスは、標的とするファイルの先頭に自身のコードを追加して感染活動を行います。

侵入方法

ウイルスは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ウイルスは、感染したコンピュータ内に以下のように自身のコピーを作成します。

• %Application Data%\Microsoft\{random}.exe
• %Windows%\xpsp2res.dll

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。)

ウイルスは、以下の無害なファイルを作成します。

• {Malware Path}\{random}.docx

ファイル感染

ウイルスは、以下の形式のファイルに感染します。

• .doc
• .docx
• .exe

ウイルスは、標的とするファイルの先頭に自身のコードを追加して感染活動を行います。

これは、トレンドマイクロの製品では、以下 により感染したファイルの検出名です。

• PE_QUERVAR.A-O

プロセスの終了

ウイルスは、感染コンピュータ上で以下のプロセスが常駐されていることを確認した場合、そのプロセスを終了します。

• taskmgr.exe

その他

ウイルスは、以下の不正なWebサイトにアクセスします。

• https://forum.{BLOCKED}vacy.com/image.php?=4140
• http://{BLOCKED}ub.eu/admin/ajax/way.php
• http://{BLOCKED}k.sk/js/way.php
• http://{BLOCKED}lity.sk/admin/user/way.php

ウイルスは、以下として分類されるすべての論理ドライブ内のファイルへの感染を回避します。

• CD-ROMドライブ
• 不明なドライブ

感染したファイルの拡張子が、".doc" または ".docx" である場合、ウイルスは、感染したファイルを以下のように保存します。

• ＜感染したファイルのオリジナルのファイル名＞xcod.scr

そして、ウイルスは、感染したファイルのオリジナルのコピーを削除します。感染したファイルは、このウイルスとして検出されます。