Security Lab

IM-Worm.Win32. QiMiral.ax

IM-Worm.Win32. QiMiral.ax

Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium".

Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.


name="doc3">

Деструктивная активность

После запуска червь показывает свое окно, в котором отображает следующую картинку:

При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.

Червь выполняет поиск окон с именами классов:

TMainForm
TManForm
Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]
Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\
Завершает работу IM клиентов, выполняя следующие команды:
taskkill /F /IM qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe
Удаляет файлы:
\LI\langs.cfg
Файл настройки языковых параметров программы мгновенных сообщений QIP.
\Langs\English.dll
Файл библиотеки с английским интерфейсом для QIP Infium.
\Langs\Russian.dll
Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:
%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\
Или каталог указанный пользователем для установки клиента мгновенных сообщений.

Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:

64.12.201.185
На момент создания описания данный ресурс был недоступен.

Распространение

После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.

При этом имя рассылаемого файла указывается как:

Snatch
Также червь имеет небольшой механизм ведения диалога.

Распознает фразы со словами:

троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))
Распознает фразы со словами:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))
Распознает фразы со словами:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )
Распознает фразы со словами:
ахуя
ачем
Ответ:
а зачем рыбе велосипед? )
Распознает фразы со словами:
Бот
бот
Ответ:
эээ… сам ты бот =\
Распознает фразы со словами:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file
Распознает фразы со словами:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!
Также отвечает на следующий текст: привет! здра хай здар прев прив

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь