IM-Worm.Win32. QiMiral.ax

Программа-червь, которая осуществляет сбор конфиденциальной информации пользователей IM клиентов "Qip" и "Qip Infium". Является приложением Windows (PE-EXE файл). Имеет размер 938496 байт. Написана на Delphi.

name="doc3">

Деструктивная активность

После запуска червь показывает свое окно, в котором отображает следующую картинку:

При попытке закрытия окна вредоноса, происходит лишь его сокрытие, а деструктивные действия продолжают выполняться.

Червь выполняет поиск окон с именами классов:

TMainForm
TManForm

Определяет процесс, который создает данные окна и производит чтения памяти процесса на предмет определения пароля пользователя. Если такие окна не были найдены – червь определяет месторасположение установленного IM клиента, прочитав значение параметра "InstallLocation" ключа реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP Infium]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\
QIP 2010]

Затем выполняет поиск ".qip" файлов, содержащих информацию о профиле пользователя, которые хранятся в каталоге "Profiles". Поиск осуществляется по следующим каталогам:

%Program Files%\QIP Infium\Profiles\
%Documents and Settings%\%Current User%\Application Data\
QIP\Profiles\

Завершает работу IM клиентов, выполняя следующие команды:

taskkill /F /IM qip.exe
taskkill /F /IM infium.exe
taskkill /F /IM icq.exe

Удаляет файлы:

\LI\langs.cfg

Файл настройки языковых параметров программы мгновенных сообщений QIP.

\Langs\English.dll

Файл библиотеки с английским интерфейсом для QIP Infium.

\Langs\Russian.dll

Файл библиотеки с русским интерфейсом для QIP Infium. Где - один из стандартных путей установки программы мгновенных сообщений:

%Program Files%\QIP Infium\
%Program Files%\QIP\
%Program Files%\QIP 2010\

Или каталог указанный пользователем для установки клиента мгновенных сообщений.

Удаление вышеуказанных файлов приводит к невозможности запуска соответствующего клиента мгновенных сообщений (QIP или QIP Infium). Выполняет обращения по следующему адресу:

64.12.201.185

На момент создания описания данный ресурс был недоступен.

Распространение

После получения логина и пароля от учетной записи, используя собственный компонент для работы с ICQ протоколом, червь осуществляет рассылку своего тела по всему списку контактов.

При этом имя рассылаемого файла указывается как:

Snatch

Также червь имеет небольшой механизм ведения диалога.

Распознает фразы со словами:

троян
трой
вирь
вирус

Ответ:

нет, что ты? как можно?! )
нет, глянь )))

Распознает фразы со словами:

чито
що
шо
че
чё
чо
что

Ответ:

ну мини игра типа )
глянь ))

Распознает фразы со словами:

не могу
ринимает

Ответ:

включи в настройках передачу файлов )

Распознает фразы со словами:

ахуя
ачем

Ответ:

а зачем рыбе велосипед? )

Распознает фразы со словами:

Бот
бот

Ответ:

эээ… сам ты бот =\

Распознает фразы со словами:

Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще

Ответ:

file

Распознает фразы со словами:

спам

Ответ:

где это видано чтоб спаммеры файлы слали? это я шлю!

Также отвечает на следующий текст: привет! здра хай здар прев прив