Russian

Вход

Поиск

Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано.

Уровень опасности: 1

Следите в

Главная→Описания→IM-Worm.Win32.QiMiral.ax

IM-Worm.Win32.QiMiral.ax

Время детектирования	16 авг 2010 16:07 MSK
Время выпуска обновления	17 авг 2010 05:41 MSK
Описание опубликовано	28 окт 2010 13:28 MSK

Экспертное описание Автоматическое описание

Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте.

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.

Деструктивная активность

После запуска червь показывает свое окно, в котором отображает следующую картинку:

При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.

Червь выполняет поиск окон с именами классов:

TMainForm
TManForm

Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]

Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:

%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\

Завершает работу IM клиентов, выполняя следующие команды:

taskkill /F /IM qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe

Удаляет файлы:

\LI\langs.cfg

Файл настройки языковых параметров программы мгновенных сообщений QIP.

\Langs\English.dll

Файл библиотеки с английским интерфейсом для QIP Infium.

\Langs\Russian.dll

Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:

%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\

Или каталог указанный пользователем для установки клиента мгновенных сообщений.

Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:

64.12.201.185

На момент создания описания данный ресурс был недоступен.

Распространение

После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.

При этом имя рассылаемого файла указывается как:

Snatch

Также червь имеет небольшой механизм ведения диалога.

Распознает фразы со словами:

троян
трой
вирь
вирус

Ответ:

нет, что ты? как можно?! )
нет, глянь )))

Распознает фразы со словами:

чито
що
шо
че
чё
чо
что

Ответ:

ну мини игра типа )
глянь ))

Распознает фразы со словами:

не могу
ринимает

Ответ:

включи в настройках передачу файлов )

Распознает фразы со словами:

ахуя
ачем

Ответ:

а зачем рыбе велосипед? )

Распознает фразы со словами:

Бот
бот

Ответ:

эээ… сам ты бот =\

Распознает фразы со словами:

Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще

Ответ:

file

Распознает фразы со словами:

спам

Ответ:

где это видано чтоб спаммеры файлы слали? это я шлю!

Также отвечает на следующий текст:

привет!
здра
хай
здар
прев
прив

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

При помощи Диспетчера задач завершить вредоносный процесс.
Удалить оригинальный файл вредоноса (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Сменить пароли к учетным записям.
Восстановить удаленные файлы или выполнить переустановку клиентов мгновенных сообщений.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Печать

Закладки

Вредоносные программы

Вирусы и черви

IM-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам систем мгновенного обмена сообщениями (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.).

Для этих целей черви, как правило, рассылают на обнаруженные контакты (из контакт-листа) сообщения, содержащие URL на файл с телом червя, расположенный на каком-либо сетевом ресурсе. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

Другие названия

IM-Worm.Win32.QiMiral.ax («Лаборатория Касперского») также известен как:

Trojan.Infostealer-4 (ClamAV)
Bck/Spybot.AJK (Panda)
W32/Infostealer.A!Maximus (FPROT)
Worm:Win32/Gegitoub.B (MS(OneCare))
Win32.HLLW.Natchs (DrWeb)
Win32/QiMiral.AC worm (Nod32)
Worm.Generic.269777 (BitDef7)
Worm.QiMiral!MpRiMKnhIhE (VirusBuster)
Win32:Inficq [Wrm] (AVAST)
IM-Worm.Win32.QiMiral (Ikarus)
PSW.Generic8.MAV (AVG)
Spyware.Keylogger (NAV)
Suspicious_Gen2.BVXIV (Norman)
Trojan.Win32.Generic.522817F6 (Rising)
IM-Worm.Win32.QiMiral.ax [AVP] (FSecure)
Trojan.Win32.Generic!BT (Sunbelt)
Worm.QiMiral!MpRiMKnhIhE (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей