Worm.Qvod.Win32.529

Worm.Qvod.Win32.529 – опасный червь,  использующий съемные носители и сеть для своего распространения.

Методы  распространения

Данный червь использует несколько методов для своего распространения

1. Червь создаёт копии своего тела на всех доступных на запись съемных дисках. При размножении через съемные носители червь копирует себя  на носитель  в папку  <Диск:> \ RECYCLER \ {случайный номер} \setup.exe.В корне каждого съемного диска создаётся сопутствующий файл Autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск.
2. Червь получает список компьютеров, находящихся в сетевом окружении зараженной машины и пытается подключиться к сетевым ресурсам, используя встроенный словарь, содержащий имена пользователей и пароли.  При успешном подключении к ресурсу, червь создает копии своего тела в общих папках.

Функциональные возможности

После запуска, червь ррегистрирует своё тело в качестве службы, для этого он пытается остановить одну из системных служб:

AppMgmt
BITS
CryptSvc
EventSystem
Browser
и т.д.

После чего копирует своё тело в папку %System%  под одним из имён, подменяя исходный файл службы:

shsvcs.dll
qmgr.dll
schedsvc.dll
xmlprov.dll
regsvc.dll
pchsvc.dll
cryptsvc.dll
tapisrv.dll
Netman.dll
Upnphost.dll
ntmssvc.dll
mswsock.dll
mspmsnsv.dll
appmgmts.dll
<Случайное имя >.dll

Если это удалось, червь перезапускает службу.

Таким образом, червь будет загружаться при каждом старте Windows, при этом количество  активных  служб и их имена останутся неизменными. Данный приём применяется для автозапуска и одновременно маскировки червя в системе.

Для сокрытия своего процесса в системе, червь  извлекает из своего тела и устанавливает драйвер. Файл драйвера копируется в папку "%System%\drivers\" с именем <случайное имя>.sys, рразмер драйвера составляет 8448 байт.
Имя файла драйвера состоит из набора цифр и букв.

Для регистрации драйвера, червь добавляет ключ в ветку реестра –

[HKLM\ System\ CurrentControlSet\ Services]

Он  имеет следующий вид:

[HKLM\ System\ CurrentControlSet\ Services\ <случайное имя>]
     Type = dword:00000001
     Start = dword:00000002
     ErrorControl = dword:00000001
      ImagePath = "\??\C:\ WINNT\ system32\ drivers\ <случайное имя >.sys"
     DisplayName = "< случайное имя >"

Имя службы совпадает с именем файла, например - если драйвер червя имеет имя “0A852E90.sys” , то название службы будет “0A852E90”

Червь блокирует возможность запуска антивирусных программ, Firewall и программ мониторинга, для этого он вносит изменения в реестр Windows.

В ветке  реестра – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\], создаются ключи реестра, содержащие имя блокируемого файла и строку -  "Debugger = "ntsd –d "" .  В результате этих действий,  приложение вместо запуска, перенаправляется на отладчик ntsd.

Созданные ключи реестра выглядят следующим образом:

[HKEY_LOCAL_MACHINE\ SOFTWARE\  Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ avp.exe]
 Debugger = "ntsd –d"
………

[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\  CurrentVersion\ Image File Execution Options\ Mcagent.exe]
 Debugger = "ntsd -d"

Где ”avp.exe”  и ”Mcagent.exe” - имена блокируемых файлов, подобных ключей создается более 50 штук.

Деструктивные возможности

Червь загружает из сети Internet вредоносное программное обеспечение и запускает его на компьютере. Таким образом, на компьютере оказывается  множество различных вирусов, троянских программ и другого вредоносного ПО.  Червь очищает файл  HOSTS с целью удаления оттуда заблокированных адресов.