Worm.Qvod.Win32.962
Worm.Qvod.Win32.962 – червь, применяющийся для загрузки и установки другого вредоносного ПО (троянской программы, BackDoor и т.д.) на компьютер-жертву. Вредоносное ПО представляет собой исполняемый PE файл (Windows EXE) рразмером 84326 Байт, упакован PEtite 2.x.
Методы распространения
- размножается через съемные носители. Для этого червь копирует себя на носитель в папку <Диск:>\RECYCLER.{случайное имя}\setup.exe.
Например :
E:\recycle.\setup.exe.
Дополнительно, в корне каждого съемного диска создаётся сопутствующий файл Autorun.inf, который позволит выполниться копии червя, если на атакуемом компьютере включен автозапуск. - распространяется через файлообменные Web-сайты и социальные сети, маскируясь под некие полезные программы, взломщики программ, генераторы серийных кодов и ключей. Обманутый такой маскировкой пользователь загружает вредоносное ПО и запускает у себя на компьютере.
Функциональные действия
После запуска червь подменяет файлы системных служб:
appmgmts.dll (используется для обеспечения работы групповой политики на клиентских компьютерах),
qmgr.dll (Background Intelligent Transfer Service),
mspmsnsv.dll (Windows Media Device Manager)
И т.д.
Для подмены файлов, червь останавливает системный сервис, подменяет его файл копией своего тела, и перезапускает его снова. Таким образом, вместо системной службы будет запускаться копия червя.
После этого червь удаляет исходный файл, из которого он был запущен.
Для сокрытия своего процесса в системе, червь извлекает из своего тела и устанавливает драйвер. Файл драйвера копируется в папку "%System%\drivers\" с именем <случайное имя>.sys, рразмер драйвера составляет 6432 байта. Имя файла драйвера состоит из набора цифр и букв.
Например:
C:\Windows\system32\drivers\5A9B1486.sys"
Для регистрации драйвера червь добавляет ключ в ветку реестра –
[HKLM\ System\ CurrentControlSet\ Services]
Он имеет следующий вид:
[HKLM\ System\ CurrentControlSet\ Services\ <случайное имя>]
Type = dword:00000001
Start = dword:00000002
ErrorControl = dword:00000001
ImagePath = "\??\%Windows%\ system32\ drivers\ <случайное имя >.sys"
DisplayName = "< случайное имя >"
Имя службы совпадает с именем файла, к примеру, если драйвер червя имеет имя “0A852E90.sys”, то название службы будет “0A852E90”
Червь блокирует возможность запуска некоторых антивирусных программ, Firewall и программ мониторинга, для этого он вносит изменения в реестр Windows. В ветке реестра – [HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\], создаются ключи реестра, содержащие имя блокируемого файла и строку - "Debugger = "ntsd –d ntsd"" . В результате этих действий, приложение вместо запуска, перенаправляется на отладчик ntsd.
Созданные ключи реестра выглядят следующим образом:
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ avp.exe]
Debugger = "ntsd –d"
………
[HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Image File Execution Options\ Mcagent.exe]
Debugger = "ntsd -d"
Где ”avp.exe” и ”Mcagent.exe” - имена блокируемых файлов, подобных ключей создается более 50 штук.
С целью обхода защиты от обнаружения червь ищет и закрывает окно Диспетчера задач. После чего пытается соединиться с удаленными серверами в сети Internet , где пытается загрузить вредоносную программу (вирус, Trojan, BackDoor и т.д.). Если это удалось, копирует её в системный каталог Windows (%System%) и запускает загруженное вредоносное ПО на выполнение.
Деструктивные возможности
Загружает из сети Internet вредоносное ПО, сохраняет его на компьютере и запускает на выполнение. Таким образом, на компьютере оказывается различное вредоносное ПО - вирусы, троянские программы и т.п.
Червь изменяет файл HOSTS, оставляя там только стандартную строку - ”127.0.0.1 localhost”.
рекомендации по лечению
Для удаления вредоносного программного обеспечения необходимо выполнить полную проверку инфицированного компьютера антивирусом Zillya с новыми антивирусными базами.
