Worm.Qvod.Win32.641

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Worm.Qvod.Win32.641

Worm.Qvod.Win32.641 – хробак, що застосовується для завантаження й установки іншого шкідливого ПО (троянської програми, Backdoor і т.д.) на комп'ютер-жертву. Основне призначення - завантажити з мережі Internet і потай установити в систему шкідливе ПО.

Методи розповсюдження

Поширюється через файлообменные Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів. Обманутий таке маскуванням, користувач завантажує шкідливе ПО й запускає в себе на комп'ютері. Також, він активно ррозповсюджуються поштою у вигляді листів із вкладеннями.

Технічний опис

Шкідливе ПО являє собою PE файл, що виконується (Windows EXE) ррозміром 93041 Байт, упакований Petite 2.x.

Після запуску хробак підміняє файли системних служб:

appmgmts.dll (використається для забезпечення роботи групової політики на клієнтських комп'ютерах),

qmgr.dll (Background Intelligent Transfer Service)

mspmsnsv.dll (Windows Media Device Manager)

І т.д.

Для підміни файлів, хробак зупиняє системний сервіс, підмінює його файл копією свого тіла, і перезапускає його знову.

Для приховання свого процесу в системі, хробак витягає зі свого тіла й встановлює драйвер. Файл драйвера копіюється кілька разів, під різними іменами, у папку “%System%\drivers\” з ім'ям “<випадкове ім'я>.sys”, ррозмір драйвера становить 8464 байта. Ім'я файлу драйвера складається з набору цифр і літер.

Одночасно в системі рреєструється декілька (3-4) копії драйвера, що забезпечує хробаку захист від видалення.

Для реєстрації драйверів додаються ключі у гілку реєстру –

[HKLM\ System\ Currentcontrolset\ Services]

Вони мають такий вигляд:

[HKLM\ System\ Currentcontrolset\ Services\ <випадкове ім'я>]

     Type = dword:00000001
     Start = dword:00000002
     Errorcontrol = dword:00000001
Imagepath = "\??\C:\ WINNT\ system32\ drivers\ <випадкове ім'я >.sys"
     Displayname = "< випадкове ім'я >"

Ім'я служби збігається з іменем файлу, приміром, якщо драйвер хробака має ім'я “0A852E90.sys”, та назва служби буде “0A852E90”

Для автоматичного запуску при кожному старті системи, хробак змінює ключі реєстру, підмінюючи шляхи файлів у системних службах на шлях до свого тіла.

Наприклад:

[HKLM\System\Currentcontrolset\ Services\ Appmgmt\ Parameters
Servicedll = "C:\WINNT\system32\mspmsnsv.dll"

[HKLM\System\Currentcontrolset\ Services\ BITS\ Parameters]
Servicedll = "C:\WINNT\system32\mspmsnsv.dll"

Хробак блокує можливість запуску деяких антивірусних програм, Firewall і програм моніторингу, для цього він вносить зміни до реєстру Windows. У гілці реєстру – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\], створюються ключі реєстру, що містять ім'я блокуємого файлу й рядок - "Debugger = "ntsd –d ntsd"" . У результаті цих дій, програма замість запуску, перенаправляється на отладчик ntsd.

Створені ключі реєстру виглядають таким чином:

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ avp.exe]

Debugger = "ntsd –d"

………

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ Mcagent.exe]

Debugger = "ntsd -d"

Де ”avp.exe” і ”Mcagent.exe” - імена блокуємих файлів, аналогічних ключів створюється більш 50 штук.

З метою обходу захисту від виявлення хробак шукає й закриває вікно Диспетчера завдань. Після чого намагається з'єднатися з віддаленими серверами в мережі Internet : 28.nsv987.com, 28.nse917.com, 1.nsb927.com, 28.nsv33987.com і т.д. Де намагається завантажити шкідливу програму (вірус, Trojan, Backdoor і т.д.). Якщо це вдалося, копіює її в системний каталог Windows (%System%) і запускає завантажене шкідливе ПО на виконання.

Деструктивні можливості

Завантажує з мережі Internet шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на комп'ютері опиняється різне шкідливе ПО - віруси, троянські програми й т.п.

Хробак змінює файл HOSTS, залишаючи там тільки стандартний рядок - ”127.0.0.1 localhost”.
Для даного хробака, характерна висока мережна активність і створення безлічі мережевих з'єднань, з-за чого він створює велике навантаження на мережу.

Примітка

% Commonappdata% - змінна, яка вказує на каталог, що містить загальні дані для всіх користувачів. За замовчуванням це - C:\Documents і Settings\ All Users\ Application Data\.

% Profiles% - змінна, яка вказує на каталог, що містить папки профілю користувача. За замовчуванням це - C:\Documents і Settings\.

% System% - змінна, яка вказує на системний каталог. За замовчуванням це - C:\Windows\System (Windows 95/98/Me), З:\Winnt\System32 (Windows NT/2000), або C:\Windows\System32 (Windows XP).