Worm.Qvod.Win32.641

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Worm.Qvod.Win32.641

Worm.Qvod.Win32.641 – червь, применяющийся для загрузки и установки другого вредоносного ПО (троянской программы, BackDoor и т.д.) на компьютер-жертву. Основное назначение - загрузить из сети Internet и скрытно установить в систему вредоносное ПО.

Методы распространения

распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некие полезные программы, взломщики программ, генераторы серийных кодов и ключей. Обманутый такой маскировкой, пользователь загружает вредоносное ПО и запускает у себя на компьютере. Также, он активно рраспространяются по почте в виде писем с вложениями.

Техническое описание

Вредоносное ПО представляет собой исполняемый PE файл (Windows EXE) рразмером 93041 Байт, упакован PEtite 2.x.

После запуска червь подменяет файлы системных служб:

appmgmts.dll (используется для обеспечения работы групповой политики на клиентских компьютерах),

qmgr.dll (Background Intelligent Transfer Service)

mspmsnsv.dll (Windows Media Device Manager)

И т.д.

Для подмены файлов, червь останавливает системный сервис, подменяет его файл копией своего тела, и перезапускает его снова.

Для сокрытия своего процесса в системе, червь извлекает из своего тела и устанавливает драйвер. Файл драйвера копируется несколько раз, под разными именами, в папку "%System%\drivers\" с именем <случайное имя>.sys, рразмер драйвера составляет 8464 байта. Имя файла драйвера состоит из набора цифр и букв.

Одновременно в системе ррегистрируется несколько (3-4) копии драйвера, что обеспечивает червю защиту от удаления.

Для регистрации драйверов добавляются ключи в ветку реестра –

[HKLM\ System\ CurrentControlSet\ Services]

Они имеют следующий вид:

[HKLM\ System\ CurrentControlSet\ Services\ <случайное имя>]

     Type = dword:00000001
     Start = dword:00000002
     ErrorControl = dword:00000001
ImagePath = "\??\C:\ WINNT\ system32\ drivers\ <случайное имя >.sys"
     DisplayName = "< случайное имя >"

Имя службы совпадает с именем файла, к примеру, если драйвер червя имеет имя “0A852E90.sys” , то название службы будет “0A852E90”

Для автоматического запуска при каждом старте системы, червь изменяет ключи реестра, подменяя пути файлов в системных службах на путь к своему телу.

Например:

[HKLM\System\CurrentControlSet\ Services\ AppMgmt\ Parameters
ServiceDll = "C:\WINNT\system32\mspmsnsv.dll"

[HKLM\System\CurrentControlSet\ Services\ BITS\ Parameters]
ServiceDll = "C:\WINNT\system32\mspmsnsv.dll"

Червь блокирует возможность запуска некоторых антивирусных программ, Firewall и программ мониторинга, для этого он вносит изменения в реестр Windows. В ветке реестра – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\], создаются ключи реестра, содержащие имя блокируемого файла и строку - "Debugger = "ntsd –d ntsd"" . В результате этих действий, приложение вместо запуска, перенаправляется на отладчик ntsd.

Созданные ключи реестра выглядят следующим образом:

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ avp.exe]

Debugger = "ntsd –d"

………

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ Mcagent.exe]

Debugger = "ntsd -d"

Где ”avp.exe” и ”Mcagent.exe” - имена блокируемых файлов, подобных ключей создается более 50 штук.

С целью обхода защиты от обнаружения червь ищет и закрывает окно Диспетчера задач. После чего пытается соединиться с удаленными серверами в сети Internet : 28.nsv987.com, 28.nse917.com , 1.nsb927.com , 28.nsv33987.com и т.д. Где пытается загрузить вредоносную программу (вирус, Trojan, BackDoor и т.д.). Если это удалось, копирует её в системный каталог Windows (%System%) и запускает загруженное вредоносное ПО на выполнение.

Деструктивные возможности

Загружает из сети Internet вредоносное ПО, сохраняет его на компьютере и запускает на выполнение. Таким образом, на компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.

Червь изменяет файл HOSTS, оставляя там только стандартную строку - ”127.0.0.1 localhost”.
Для данного червя, характерна высокая сетевая активность и создание множества сетевых соединений, из- за чего он создает большую нагрузку на сеть.

Примечание

%CommonAppData% - переменная, которая указывает на каталог, содержащий общие данные для всех пользователей. По умолчанию это - C:\Documents и Settings\ All Users\ Application Data\.

%Profiles% - переменная, которая указывает на каталог, содержащий папки профиля пользователя. По умолчанию это - C:\Documents и Settings\.

%System% - переменная, которая указывает на системный каталог. По умолчанию это - C:\Windows\System (Windows 95/98/Me), С:\Winnt\System32 (Windows NT/2000), или C:\Windows\System32 (Windows XP).