Snatch.exe (IM-Worm.Win32.QiMiral.ax): описание и лечение

Printable View

17.08.2010, 15:01
NickGolovko

Snatch.exe (IM-Worm.Win32.QiMiral.ax): описание и лечение

16-17 августа 2010 года наблюдается активное распространение нового червя для Интернет-пейджеров.

[I]Официальное наименование:[/I]

[INDENT][B]IM-Worm.Win32.QiMiral.ax[/B] (Лаборатория Касперского)
[B]DeepScan:Generic.Malware.FPPkTkg.7388E5A8[/B] (BitDefender)[/INDENT]

[I]Самоназвание:[/I]

[INDENT]За вредоносной программой закрепилось неофициальное название "Snatch" - по имени ее основного файла.[/INDENT]

[I]Как можно заразиться?[/I]

[INDENT]Вредоносная программа распространяется через Интернет-пейджер [b]ICQ[/b]. Потенциальной жертве приходит сообщение с предложением скачать исполняемый файл [b]snatch.exe[/b], который якобы является развлекательным приложением (мини-игрой и т.п.) и запустить его. Как только файл запущен, начинается вредоносная активность.[/indent]

[i]Что происходит при заражении?[/i]

[indent]При запуске основной файл [b]snatch.exe[/b] (размер - 938496 байт) захватывает контроль над учетной записью ICQ пользователя и начинает рассылать сообщения с предложением загрузить свою копию по всему списку контактов жертвы. Вредоносная программа способна поддерживать несложный разговор с собеседником, реагируя на определенные слова; к примеру, если пользователь присылает ответное сообщение со словами "вирус" или "троян", то робот отвечает письмом наподобие "ну что ты ? как можно ?" или "да нет, глянь", а при ошибках загрузки вредоносная программа советует включить в ICQ-клиенте сервис передачи файлов.[/indent]

[i]Что делать?[/i]

[indent]Если вы запустили присланный вам файл [b]snatch.exe[/b] или подобный ему (в будущем злоумышленники могут изменить имя распространяемого файла) и заразились, то вам необходимо:

1. Уничтожить собственно вредоносную программу. Для этого достаточно провести сканирование вашего компьютера с помощью антивирусной утилиты AVPTool (описание см. здесь: [url]http://support.kaspersky.ru/viruses/avptool2010?level=2[/url], ссылка для загрузки: [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] ), либо, если вы опытный пользователь, завершить вредоносный процесс в Диспетчере задач и удалить собственно тело вируса (тот самый файл, загруженный через ICQ).

2. Срочно сменить пароль к вашей учетной записи ICQ.

Также мы рекомендуем вам пройти диагностику в [url="http://virusinfo.info/index.php?page=malwareremoval"]лечебном сервисе[/url] Антивирусного портала VirusInfo, чтобы убедиться, что удаление вредоносной программы прошло успешно и на компьютере нет сопутствующих инфекций.[/indent]

[i]Напоминаем о правилах безопасности[/i]

[indent]Помните, что вредоносная программа может довольно убедительно имитировать живого пользователя. Если ваш собеседник ведет себя необычным для него образом и настойчиво предлагает загрузить и запустить некий файл, свяжитесь с ним по каким-либо другим каналам и убедитесь, что это действительно он, а не робот, - или хотя бы проверяйте присланные вам файлы в онлайн-сканере [url="http://virustotal.com"]VirusTotal[/url], если у вас нет времени на выяснение всех обстоятельств.[/indent]

[I][SIZE="1"]Источник: Антивирусный портал VirusInfo[/SIZE][/I]
17.08.2010, 19:15
Niko2

похищаются пароли, сохраненные самим клиентом на локальной машине и через уже подключенную аську добываются с сервера аськи?
17.08.2010, 20:45
sasha2

На данный момент какие антивирусы ловят этого червя ( кроме касперского и битдефендера)?
17.08.2010, 21:38
SDA

[QUOTE=sasha2;689860]На данный момент какие антивирусы ловят этого червя ( кроме касперского и битдефендера)?[/QUOTE]

[url]http://www.virustotal.com/file-scan/report.html?id=41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bbac092dbdbff788c-1281980107[/url]
17.08.2010, 23:09
Юльча

[QUOTE='SDA;689898']http://www.virustotal.com/file-scan/...88c-1281980107[/QUOTE]
как бы неактуальный, т.к. вчерашний детект :)

[QUOTE='NickM;689890']может ftp вместо http? а ошибка из-за того что по ссылке тянется версия setup_9.0.0.722_17.08.2010_19-47.exe, которой в папке AVPTool нету, [/QUOTE]ага, вижу в html прописана более поздняя версия которой нет, сейчас это уже setup_9.0.0.722_17.08.2010_[B]21-47[/B].exe..
а почему индекс.хтмл генерится независимо от содержимого каталога? :)
17.08.2010, 23:12
Greenge

Последние данные: [url]http://www.virustotal.com/file-scan/report.html?id=41e19d03853208caec30a3c6c9bffa038e6b03f0a021b24bbac092dbdbff788c-1282048397[/url]

ловят 21 антивирусный продукт.
18.08.2010, 00:01
Niko2

КТО-НИБУДЬ ОТВЕТИТ, ПРОФЕССИОНАЛЫ, КООРДИНАТОРЫ ТЕМЫ?
или все оффтопиками про уже утилиту довольствоваться?

похищаются пароли, сохраненные самим клиентом на локальной машине или через уже подключенную аську добываются с сервера аськи?
18.08.2010, 00:46
Greenge

chap, у меня такая же проблема, решил с помощью Download master'a просто кинул ему ссылку и все, он закачал.
18.08.2010, 01:24
Karlson

[QUOTE=Niko2;689999]КТО-НИБУДЬ ОТВЕТИТ, ПРОФЕССИОНАЛЫ, КООРДИНАТОРЫ ТЕМЫ?
или все оффтопиками про уже утилиту довольствоваться?

похищаются пароли, сохраненные самим клиентом на локальной машине или через уже подключенную аську добываются с сервера аськи?[/QUOTE]
у меня у двоих знакомых после этой заразы с паролем ничего не случилось. не знаю ушел ли он на сторону, но во всяком случае не поменялся.
18.08.2010, 02:32
Niko2

> но во всяком случае не поменялся.

просто пока и вручную его поменять нельзя - ни через веб-интерфейс, ни через клиент.

где вирусные аналитики? что делает программа - как она получает пароль?
если клиент во время заражения был запущен и флажок "сохранять пароль" не стоит (и никогда не стоял) - может ли вирус как-то получить пароль в этом случае (может он в кэше клиента или уже как-то связь с серваком налажена, что можно сразу поменять / может он его отправляет в Сеть (конечно злоумышленникам))?
какие у него алгоритмы? вы же тестили его и молчите... а народ всё офтопиком об утилите беседует... а тут эпидемия и никто ничего не знает...
знатоки, пролейте свет на вопросы!
18.08.2010, 12:45
Wesley Sneijder

Изучил Snatch.exe
Прога написана на Borland Delphi, представляет собой простейший ICQ-клиент, умеет весело беседовать.
Для собственной беседы тырит пароли, похоже знает как работать через прокси.
Список асек которые знает:
QIP Infium
QIP 2010
IM ICQ
причем зараза знает только стандартные пути их установки, однако через TaskKill валит их в процессах
Адрес, куда сливает инфу выловить не удалось:( если она вообще их сливает
Цепляется к ICQ серверу по адресу 64.12.201.185, если его уронить на время, то прога кажись накроется, хотя и вроде

как знает что такое login.icq.com

Реагирует на слова в сообщении и их части:
слово или часть:
троян
трой
вирь
вирус
Ответ:
нет, что ты? как можно?! )
нет, глянь )))

слово или часть:
чито
що
шо
че
чё
чо
что
Ответ:
ну мини игра типа )
глянь ))

слово или часть:
не могу
ринимает
Ответ:
включи в настройках передачу файлов )

слово или часть:
ахуя
ачем
Ответ:
а зачем рыбе велосипед? )

слово или часть:
Бот
бот
Ответ:
эээ… сам ты бот =\

слово или часть:
Сейчас
сейчас
Теперь
теперь
Пробуй
Ану
ану
Передай
передай
Передавай
передавай
Кидай
кидай
Кинь
кинь
Опять
опять
Снова
снова
Еще
еще
Ответ:
file

слово или часть:
спам
Ответ:
где это видано чтоб спаммеры файлы слали? это я шлю!

И также знает:
привет!
здра
хай
здар
прев
прив
18.08.2010, 14:56
Niko2

[B]Wesley Sneijder[/B],
>Для собственной беседы тырит пароли

как он это делает?

например, если клиент во время заражения был запущен и флажок "сохранять пароль" не стоит (и никогда не стоял) - может ли вирус как-то получить пароль в этом случае (может он в кэше клиента или уже как-то связь с серваком налажена, что можно сразу поменять / может он его отправляет в Сеть)?