Analysé par: kathleenno   
 

W32.Qakbot (Symantec); Backdoor:Win32/Qakbot (Microsoft); W32/Pinkslipbot.gen.af (Mcafee); Bck/Qbot.AO (Panda)

 Plate-forme:

Windows 2000, Windows XP, Windows Server 2003

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
    Non

  • In the wild::
    Oui

  Overview

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.

  Détails techniques

File size: 272,032 bytes
File type: EXE
Memory resident: Oui
Date de réception des premiers échantillons: 21 mai 2011

Installation

Schleust die folgenden Dateien ein:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.dll - also detected as WORM_QAKBOT.BN

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe"

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe" /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)

Verbreitung

Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.