Worm.Qvod.Win32.529
Worm.Qvod.Win32.529 – опасный червь, использующий съемные носители и сеть для своего распространения.
Методы распространения
Данный червь использует несколько методов для своего распространения
- Червь создаёт копии своего тела на всех доступных на запись съемных дисках. При размножении через съемные носители червь копирует себя на носитель в папку <Диск:> \ RECYCLER \ {случайный номер} \setup.exe.В корне каждого съемного диска создаётся сопутствующий файл Autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.
- Червь получает список компьютеров, находящихся в сетевом окружении зараженной машины и пытается подключиться к сетевым ресурсам, используя встроенный словарь, содержащий имена пользователей и пароли. При успешном подключении к ресурсу, червь создает копии своего тела в общих папках.
Функциональные возможности
После запуска, червь ррегистрирует своё тело в качестве службы, для этого он пытается остановить одну из системных служб:
AppMgmt
BITS
CryptSvc
EventSystem
Browser
и т.д.
После чего копирует своё тело в папку %System% под одним из имён, подменяя исходный файл службы:
shsvcs.dll
qmgr.dll
schedsvc.dll
xmlprov.dll
regsvc.dll
pchsvc.dll
cryptsvc.dll
tapisrv.dll
Netman.dll
Upnphost.dll
ntmssvc.dll
mswsock.dll
mspmsnsv.dll
appmgmts.dll
<Случайное имя >.dll
Если это удалось, червь перезапускает службу.
Таким образом, червь будет загружаться при каждом старте Windows, при этом количество активных служб и их имена останутся неизменными. Данный приём применяется для автозапуска и одновременно маскировки червя в системе.
Для сокрытия своего процесса в системе, червь извлекает из своего тела и устанавливает драйвер. Файл драйвера копируется в папку "%System%\drivers\" с именем <случайное имя>.sys, рразмер драйвера составляет 8448 байт.
Имя файла драйвера состоит из набора цифр и букв.
Для регистрации драйвера, червь добавляет ключ в ветку реестра –
[HKLM\ System\ CurrentControlSet\ Services]
Он имеет следующий вид:
[HKLM\ System\ CurrentControlSet\ Services\ <случайное имя>]
Type = dword:00000001
Start = dword:00000002
ErrorControl = dword:00000001
ImagePath = "\??\C:\ WINNT\ system32\ drivers\ <случайное имя >.sys"
DisplayName = "< случайное имя >"
Имя службы совпадает с именем файла, например - если драйвер червя имеет имя “0A852E90.sys” , то название службы будет “0A852E90”
Червь блокирует возможность запуска антивирусных программ, Firewall и программ мониторинга, для этого он вносит изменения в реестр Windows.
В ветке реестра – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\], создаются ключи реестра, содержащие имя блокируемого файла и строку - "Debugger = "ntsd –d "" . В результате этих действий, приложение вместо запуска, перенаправляется на отладчик ntsd.
Созданные ключи реестра выглядят следующим образом:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ avp.exe]
Debugger = "ntsd –d"
………
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ Mcagent.exe]
Debugger = "ntsd -d"
Где ”avp.exe” и ”Mcagent.exe” - имена блокируемых файлов, подобных ключей создается более 50 штук.
Деструктивные возможности
Червь загружает из сети Internet вредоносное программное обеспечение и запускает его на компьютере. Таким образом, на компьютере оказывается множество различных вирусов, троянских программ и другого вредоносного ПО. Червь очищает файл HOSTS с целью удаления оттуда заблокированных адресов.