Worm.Qvod.Win32.730
Worm.Qvod.Win32.730 – небезпечний хробак, що використає знімні носії й мережу для свого розповсюдження.
Методи розповсюдження
Даний хробак використає кілька методів для свого розповсюдження
- Хробак створює копії свого тіла на всіх доступних на запис знімних дисках. При розмноженні через знімні носії хробак копіює себе на носій у папку <Диск:> \ RECYCLER \ {випадковий номер} \setup.exe. У корені кожного знімного диска створюється супутній файл Autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск.
- Хробак отримує список комп'ютерів, що перебувають у мережному оточенні зараженої машини й намагається підключитися до мережних ресурсів, використовуючи вбудований словник, що містить імена користувачів і паролі. При успішному підключенні до ресурсу, хробак створює копії свого тіла в загальних папках.
- Хробак маэ функціональність віруса и інфікує виконувані файли (Windows EXE)
Функціональні можливості
Після запуску, хробак рреєструє своє тіло як службу, для цього він намагається зупинити одну із системних служб:
Appmgmt
BITS
Cryptsvc
Eventsystem
Browser
і т.д.
Після чого копіює своє тіло в папку %System% під одним з імен, підмінюючи файл служби:
shsvcs.dll
qmgr.dll
schedsvc.dll
xmlprov.dll
regsvc.dll
pchsvc.dll
cryptsvc.dll
tapisrv.dll
Netman.dll
Upnphost.dll
ntmssvc.dll
mswsock.dll
mspmsnsv.dll
appmgmts.dll
<Випадкове ім'я >.dll
Якщо це вдалося, хробак перезапускає службу.
Таким чином, хробак буде завантажуватися при кожному старті Windows, при цьому кількість активних служб і їх імена залишаться незмінними. Даний прийом застосовується для автозапуску й одночасно маскування хробака в системі.
Для приховання свого процесу в системі, хробак витягає зі свого тіла й встановлює драйвер. Файл драйвера копіюється в папку "%System%\drivers\" з ім'ям <випадкове ім'я>.sys, ррозмір драйвера становить 8535 байт.
Ім'я файлу драйвера складається з набору цифр і букв.
Для реєстрації драйвера, хробак додає ключ у вітку реєстру –
[HKLM\ System\ Currentcontrolset\ Services]
Він має такий вигляд:
[HKLM\ System\ Currentcontrolset\ Services\ <випадкове ім'я>]
Type = dword:00000001
Start = dword:00000002
Errorcontrol = dword:00000001
Imagepath = "\??\C:\ WINNT\ system32\ drivers\ <випадкове ім'я >.sys"
Displayname = "< випадкове ім'я >"
Ім'я служби збігається з ім'ям файлу, наприклад - якщо драйвер хробака має ім'я “0A852E90.sys”, то назва служби буде “0A852E90”
Хробак блокує можливість запуску антивірусних програм, Firewall і програм моніторингу, для цього він вносить зміни до реєстру Windows.
У вітці реєстру – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\], створюються ключі реєстру, що містять ім'я блокуємого файлу й рядок - "Debugger = "ntsd –d "" . У результаті цих дій, програма замість запуску, перенаправляється на debugger - ntsd.
Створені ключі реєстру виглядають таким чином:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ avp.exe]
Debugger = "ntsd –d"
………
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ Mcagent.exe]
Debugger = "ntsd -d"
Де ”avp.exe” і ”Mcagent.exe” - імена блокуємих файлів, подібних ключів створюється більш 50 штук.
Деструктивні можливості
Хробак завантажує з мережі Internet шкідливе програмне забезпечення й запускає його на комп'ютері. Таким чином, на комп'ютері виявляється безліч різних вірусів, троянських програм і іншого шкідливого ПО. Хробак очищає файл HOSTS з метою видалити звідти заблоковані адреси.