TSPY_QBOT.L

Wird möglicherweise von anderer Malware eingeschleust. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Öffnet Websites, um Dateien herunterzuladen. Dadurch kann diese Malware möglicherweise andere Malware auf dem betroffenen Computer hinterlassen. Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden. Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Sammelt bestimmte Informationen auf dem betroffenen Computer. Versendet die gesammelten Daten an externe Websites.

Übertragungsdetails

Wird möglicherweise von anderer Malware eingeschleust.

Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz\q1.{random number}

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Rootkit-Funktionen

Verfügt auch über Rootkit-Fähigkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden können.

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• ccApp.exe
• cmd.exe
• ctfmon.exe
• dbgview.exe
• far.exe
• mirc.exe
• mmc.exe
• msdev.exe
• nc.exe
• ollydbg.exe
• outlook.exe
• photoed
• R&Q.exe
• skype

Download-Routine

Öffnet Websites, um die folgenden Dateien herunterzuladen:

• aaveimi - detected as TROJ_BAMITAL.AQ
• qgewcjtlz.exe - detected as TROJ_BAMITAL.AQ
• qgewcjtl.dll - contains encrypted data
• qgewcjtlz.dl - detected as TSPY_QBOT.N
• qgewcjtlzyw.dll - detected as TSPY_QBOT.N
• qgewcjtlzxn.exe - detected as TROJ_BAMITAL.AQ
• xujqa2y - contains encrypted data

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• alias__qbotnti.exe
• alias__qbotinj.exe
• alias__qbot.cb
• _qbotinj.exe
• _qbotnti.exe
• q3.dll
• _qbot.dll
• alias__qbot.dll
• crontab.cb
• /u/updates98.cb
• alias_updates.cb
• /u/updates.cb
• updates1.cb
• updates*_new.cb

Anschließend werden die heruntergeladenen Dateien ausgeführt. Dadurch können die bösartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• singlepoint.usbank.com
• netconnect.bokf.com
• business-eb.ibanking-services.com
• cashproonline.bankofamerica.com
• /cashplus/
• ebanking-services.com
• /cashman/
• web-cashplus.com
• treas-mgt.frostbank.com
• business-eb.ibanking-services.com
• treasury.pncbank.com
• access.jpmorgan.com
• ktt.key.com
• onlineserv/CM
• premierview.membersunited.org
• directline4biz.com
• onb.webcashmgmt.com
• tmconnectweb
• moneymanagergps.com
• ibc.klikbca.com
• directpay.wellsfargo.com
• express.53.com
• itreasury.regions.com
• itreasurypr.regions.com
• cpw-achweb.bankofamerica.com
• businessaccess.citibank.citigroup.com
• businessonline.huntington.com

Sammelt die folgenden Informationen auf dem betroffenen Computer:

• ext_ip
• dnsname
• hostname
• country
• state
• city
• user
• domain
• is_admin
• os
• time
• qbot_version

Versendet die gesammelten Daten an externe Websites.