BKDR_QAKBOT.CM

Versendet die gesammelten Daten an externe Websites.

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die bestimmte Zeichenfolgen enthalten.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\Documents and Settings\Administrator\Application Data\Microsoft\{random}\{random}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust folgende nicht bösartige Datei ein:

• %System Root%\Documents and Settings\Administrator\Application Data\Microsoft\{random}\{random}.dll

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %System Root%\Documents and Settings\Administrator\Application Data\Microsoft\{random}

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:

• nekxhv
• Global\{random}
• {malware name}a

Injiziert sich selbst in die folgenden Prozesse, um speicherresident ausgeführt zu werden:

• explorer.exe
• iexplore.exe

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• ctfmon.exe
• dbgview.exe
• mirc.exe
• msdev.exe
• ollydbg.exe

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• .citigroup.com
• .webcashmgmt.com
• /achupload
• /cashman/
• /cashplus/
• /clkccm/
• /cmserver/
• /corpach/
• /payments/ach
• /stbcorp/
• /wcmpr/
• /wcmpw/
• /wcmtr/
• /wires/
• /wiret
• abnamro.nl
• access.jpmorgan.com
• accessonline.abnamro.com
• achbatchlisting
• business-eb.ibanking-services.com
• businessaccess.citibank.citigroup.com
• businessbankingcenter.synovus.com
• businessinternetbanking.synovus.com
• businessonline.huntington.com
• businessonline.tdbank.com
• cashproonline.bankofamerica.com
• cbs.firstcitizensonline.com
• chsec.wellsfargo.com
• commercial.wachovia.com
• commercial2.wachovia.com
• commercial3.wachovia.com
• commercial4.wachovia.com
• corporatebanking
• cpw-achweb.bankofamerica.com
• directline4biz.com
• directpay.wellsfargo.com
• e-facts.org
• e-moneyger.com
• each.bremer.com
• ebanking-services.com
• express.53.com
• firstmeritib.com
• firstmeritib.com/defaultcorp.aspx
• goldleafach.com
• iachwellsprod.wellsfargo.com
• ibc.klikbca.com
• iris.sovereignbank.com
• itreasury.regions.com
• itreasurypr.regions.com
• ktt.key.com
• moneymanagergps.com
• netconnect.bokf.com
• ocm.suntrust.com
• onlineserv/CM
• otm.suntrust.com
• paylinks.cunet.org
• premierview.membersunited.org
• providentnjolb.com
• scotiaconnect.scotiabank.com
• securentrycorp.amegybank.com
• singlepoint.usbank.com
• svbconnect.com
• tmconnectweb
• treas-mgt.frostbank.com
• treasury.pncbank.com
• trz.tranzact.org
• tssportal.jpmorgan.com
• ub-businessonline.blilk.com
• wc.wachovia.com
• wcp.wachovia.com
• web-cashplus.com
• webexpress.tdbank.com
• wellsoffice.wellsfargo.com

Versendet die gesammelten Daten an externe Websites.

Andere Details

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die folgende Zeichenfolgen enthalten:

• .eset
• agnitum
• ahnlab
• arcabit
• avast
• avg
• avira
• avp
• bit9
• bitdefender
• castlecops
• centralcommand
• clamav
• clearclouddns
• comodo
• computerassociates
• cpsecure
• defender
• drweb
• emsisoft
• esafe
• etrust
• ewido
• f-prot
• f-secure
• fortinet
• gdata
• grisoft
• hacksoft
• hauri
• hautesecure.com
• ikarus
• jotti
• k7computing
• kaspersky
• malware
• mcafee
• networkassociates
• nod32
• norman
• norton
• panda
• pctools
• phishtank.com
• prevx
• quickheal
• rising
• rootkit
• securecomputing
• sophos
• spamhaus
• spyware
• sunbelt
• symantec
• threatexpert
• trendmicro
• truste.com
• virus
• webroot.
• wilderssecurity
• windowsupdate