Worm.Qvod.Win32.962
Worm.Qvod.Win32.962 – хробак, що застосовується для завантаження й установки іншого шкідливого ПО ( троянської програми, Backdoor і т.д.) на комп'ютер-жертву. Основне призначення - завантажити з мережі Internet і потай установити в систему шкідливе ПО. Шкідливе ПО являє собою PE файл, що виконується (Windows EXE) ррозміром 84326 Байт, упакований Petite 2.x.
Методи розповсюдження
- розмножується через знімні носії. Для цього хробак копіює себе на носій у папку <Диск:> \ RECYCLER.{випадкове ім'я}\setup.exe.
Наприклад :
E:\recycle.\setup.exe.
Додатково, у корені кожного знімного диска створюється супутній файл Autorun.inf, який дозволить виконатися копії хробака, якщо на комп'ютері, що атакується, включений автозапуск. - розповсюджується через файлообмінні Web-Сайти й соціальні мережі, маскуючись під якісь корисні програми, зломщики програм, генератори серійних кодів і ключів. Ошуканий таким маскуванням користувач завантажує шкідливе ПО й запускає в себе на комп'ютері.
Функціональні дії
Після запуску хробак підмінює файли системних служб:
appmgmts.dll (використовується для забезпечення роботи групової політики на клієнтських комп'ютерах),
qmgr.dll (Background Intelligent Transfer Service),
mspmsnsv.dll (Windows Media Device Manager),
І т.д.
Для підміни файлів, хробак зупиняє системний сервіс, підмінює його файл копією свого тіла, і перезапускає його знову. Таким чином, замість системної служби буде запускатися копія хробака.
Після цього хробак видаляє початковий файл, з якого він був запущений.
Для приховання свого процесу в системі, хробак витягає зі свого тіла й встановлює драйвер. Файл драйвера копіюється в папку "%System%\drivers\" з ім'ям <випадкове ім'я>.sys, ррозмір драйвера становить 6432 байта. Ім'я файлу драйвера складається з набору цифр і букв.
Наприклад:
C:\Windows\system32\drivers\5A9B1486.sys"
Для реєстрації драйвера хробак додає ключ у гілку реєстру –
[HKLM\ System\ Currentcontrolset\ Services]
Він має такий вигляд:
[HKLM\ System\ Currentcontrolset\ Services\ <випадкове ім'я>]
Type = dword:00000001
Start = dword:00000002
Errorcontrol = dword:00000001
Imagepath = "\??\% Windows%\ system32\ drivers\ <випадкове ім'я >.sys"
Displayname = "< випадкове ім'я >"
Ім'я служби збігається з ім'ям файлу, приміром, якщо драйвер хробака має ім'я “0A852E90.sys”, то назва служби буде “0A852E90”
Хробак блокує можливість запуску деяких антивірусних програм, Firewall і програм моніторингу, для цього він вносить зміни до реєстру Windows. У вітці реєстру – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\], створюються ключі реєстру, що містять ім'я файлу що блокуеться й рядок - "Debugger = "ntsd –d ntsd"". В результаті цих дій, програма замість запуску, перенаправляється на отладчик ntsd.
Створені ключі реєстру виглядають у таким чином:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ avp.exe]
Debugger = "ntsd –d"
………
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ Currentversion\ Image File Execution Options\ Mcagent.exe]
Debugger = "ntsd -d"
Де ”avp.exe” і ”Mcagent.exe” - імена файлів що блокуються, подібних ключів створюється більше 50 штук.
З метою обходу захисту від виявлення хробак шукає й закриває вікно “Диспетчера завдань”. Після чого намагається з'єднатися з віддаленими серверами в мережі Internet, де намагається завантажити шкідливу програму (вірус, Trojan, Backdoor і т.д.). Якщо це вдалося, копіює її в системний каталог Windows (%System%) і запускає завантажене шкідливе ПО на виконання.
Деструктивні можливості
Завантажує з мережі Internet шкідливе ПО, зберігає його на комп'ютері й запускає на виконання. Таким чином, на комп'ютері виявляється різне шкідливе ПО - віруси, троянські програми й т.п.
Хробак змінює файл HOSTS, залишаючи там тільки стандартний рядок - ”127.0.0.1 localhost”.
рекомендації з лікування
Для видалення шкідливого програмного забезпечення необхідно виконати повну перевірку інфікованого комп'ютера антивірусом Zillya з новими антивірусними базами.
