Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium".
Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.
После запуска червь показывает свое окно, в котором отображает следующую картинку:
При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.
Червь выполняет поиск окон с именами классов:
TMainFormОпределяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:
TManForm
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]
%Program Files%\QIP Infium\Profiles\Завершает работу IM клиентов, выполняя следующие команды:
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\
taskkill /F /IM qip.exeУдаляет файлы:
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe
\LI\langs.cfgФайл настройки языковых параметров программы мгновенных сообщений QIP.
\Langs\English.dllФайл библиотеки с английским интерфейсом для QIP Infium.
\Langs\Russian.dllФайл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:
%Program Files%\QIP Infium\Или каталог указанный пользователем для установки клиента мгновенных сообщений.
%Program Files%\QIP\
%Program Files%\QIP 2010\
Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:
64.12.201.185На момент создания описания данный ресурс был недоступен.
После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.
При этом имя рассылаемого файла указывается как:
SnatchТакже червь имеет небольшой механизм ведения диалога.
Распознает фразы со словами:
троянОтвет:
трой
вирь
вирус
нет, что ты? как можно?! )Распознает фразы со словами:
нет, глянь )))
читоОтвет:
що
шо
че
чё
чо
что
ну мини игра типа )Распознает фразы со словами:
глянь ))
не могуОтвет:
ринимает
включи в настройках передачу файлов )Распознает фразы со словами:
ахуяОтвет:
ачем
а зачем рыбе велосипед? )Распознает фразы со словами:
БотОтвет:
бот
эээ… сам ты бот =\Распознает фразы со словами:
СейчасОтвет:
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
fileРаспознает фразы со словами:
спамОтвет:
где это видано чтоб спаммеры файлы слали? это я шлю!Также отвечает на следующий текст: привет! здра хай здар прев прив
Храним важное в надежном месте