Worm.Qvod.Win32.529

Worm.Qvod.Win32.529 – небезпечний хробак, що  використає знімні носії й мережу для свого розповсюдження.

Методи  розповсюдження

Даний хробак використає кілька методів для свого розповсюдження

1. Хробак створює копії свого тіла на всіх доступних на запис знімних дисках. При розмноженні через знімні носії хробак копіює себе  на носій  у папку  <Диск:> \ RECYCLER \ {випадковий номер} \setup.exe. У корені кожного знімного диска створюється супутній файл Autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.
2. Хробак отримує список комп'ютерів, що перебувають у мережному оточенні зараженої машини й намагається підключитися до мережних ресурсів, використовуючи вбудований словник, що містить імена користувачів і паролі.  При успішному підключенні до ресурсу, хробак створює копії свого тіла в загальних папках.

Функціональні можливості

Після запуску, хробак рреєструє своє тіло як службу, для цього він намагається зупинити одну із системних служб:

Appmgmt
BITS
Cryptsvc
Eventsystem
Browser
і т.д.

Після чого копіює своє тіло в папку %System% під одним з імен, підмінюючи файл служби:

shsvcs.dll
qmgr.dll
 schedsvc.dll
xmlprov.dll
regsvc.dll
pchsvc.dll
cryptsvc.dll
tapisrv.dll
Netman.dll
Upnphost.dll
ntmssvc.dll
mswsock.dll
mspmsnsv.dll
 appmgmts.dll
 <Випадкове ім'я >.dll

Якщо це вдалося, хробак перезапускає службу.

Таким чином, хробак буде завантажуватися при кожному старті Windows, при цьому кількість  активних  служб і їх імена залишаться незмінними. Даний прийом застосовується для автозапуску й одночасно маскування хробака в системі.

Для приховання свого процесу в системі, хробак  витягає зі свого тіла й встановлює драйвер. Файл драйвера копіюється в папку "%System%\drivers\" з ім'ям <випадкове ім'я>.sys, ррозмір драйвера становить 8448 байт.
Ім'я файлу драйвера складається з набору цифр і букв.

Для реєстрації драйвера, хробак додає ключ у вітку реєстру –

[HKLM\ System\ Currentcontrolset\ Services]

Він має такий вигляд:

[HKLM\ System\ Currentcontrolset\ Services\ <випадкове ім'я>]
     Type = dword:00000001
     Start = dword:00000002
     Errorcontrol = dword:00000001
      Imagepath = "\??\C:\ WINNT\ system32\ drivers\ <випадкове ім'я >.sys"
     Displayname = "< випадкове ім'я >"

Ім'я служби збігається з ім'ям файлу, наприклад - якщо драйвер хробака має ім'я “0A852E90.sys”, то назва служби буде “0A852E90”

Хробак блокує можливість запуску антивірусних програм, Firewall і програм моніторингу, для цього він вносить зміни до реєстру Windows.

У вітці  реєстру – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\], створюються ключі реєстру, що містять ім'я блокуємого файлу й рядок -  "Debugger = "ntsd –d "" .  У результаті цих дій,  програма замість запуску, перенаправляється на debugger - ntsd.

Створені ключі реєстру виглядають  таким чином:

[HKEY_LOCAL_MACHINE\ SOFTWARE\  Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ avp.exe]
 Debugger = "ntsd –d"
 ………

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\  Currentversion\ Image File Execution Options\ Mcagent.exe]
 Debugger = "ntsd -d"

Де ”avp.exe”  і ”Mcagent.exe” - імена блокуємих файлів, подібних ключів створюється більш 50 штук.

Деструктивні можливості

Хробак завантажує з мережі Internet шкідливе програмне забезпечення й запускає його на комп'ютері. Таким чином, на комп'ютері виявляється  безліч різних вірусів, троянських програм і іншого шкідливого ПО.  Хробак очищає файл  HOSTS з метою видалити звідти заблоковані адреси.