TrojanSpy.Win32.QBOT.CFH

Se conecta a determinados sitios Web para enviar y recibir información. Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual. Este malware se elimina tras la ejecución.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\Microsoft\{random folder name}\{random file name}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega los procesos siguientes:

• {malware path and file name} /c
• cmd.exe /c ping.exe -n 6 127.0.0.1 & type %system%\calc.exe {malware path and file name}
• %System%\PING.EXE ping.exe -n 6 127.0.0.1

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las carpetas siguientes:

• %Application Data%\Microsoft\{random folder name}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = %Application Data%\Microsoft\{random folder name}\{random file name}.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = %Application Data%\Microsoft\{random folder name}\{random file name}.exe

Robo de información

Controla la actividad de Internet Explorer (IE) del sistema afectado, en particular la barra de direcciones. Recrea un sitio Web legítimo con una página de inicio de sesión falsa cuando un usuario visita sitios de banca con las siguientes cadenas en la barra de direcciones y/o barra de título:

• .hsbcnet.com
• .ntrs.com
• .web-access.com
• .webcashmgmt.com
• /achupload
• /cashman/
• /cashplus/
• /clkccm/
• /cmserver/
• /corpach/
• /ibws/
• /payments/ach
• /payments/ach
• /stbcorp/
• /wcmpr/
• /wcmpw/
• /wcmtr/
• /wires/
• /wiret
• access.jpmorgan.com
• accessmoneymanager.com
• accessonline.abnamro.com
• achbatchlisting
• bankeft.com
• blilk.com
• businessaccess.citibank.citigroup.com
• businessbankingcenter.synovus.com
• business-eb.ibanking-services.com
• business-eb.ibanking-services.com
• businessinternetbanking.synovus.com
• businessonline.huntington.com
• businessonline.tdbank.com
• cashmanageronline.bbt.com
• cashproonline.bankofamerica.com
• cashproonline.bankofamerica.com
• cbs.firstcitizensonline.com
• chsec.wellsfargo.com
• cmol.bbt.com
• cmoltp.bbt.com
• commerceconnections.commercebank.com
• commercial.bnc.ca
• commercial.wachovia.com
• commercial2.wachovia.com
• commercial3.wachovia.com
• commercial4.wachovia.com
• corporatebanking
• cpw-achweb.bankofamerica.com
• ctm.53.com
• directline4biz.com
• directpay.wellsfargo.com
• each.bremer.com
• ebanking-services.com
• ecash.arvest.com
• e-facts.org
• e-moneyger.com
• express.53.com
• firstmeritib.com
• firstmeritib.com/defaultcorp.aspx
• goldleafach.com
• iachwellsprod.wellsfargo.com
• ibc.klikbca.com
• intellix.capitalonebank.com
• iris.sovereignbank.com
• itreasury.regions.com
• itreasurypr.regions.com
• jsp/mainWeb.jsp
• ktt.key.com
• moneymanagergps.com
• netconnect.bokf.com
• nj00-wcm
• ocm.suntrust.com
• olb-ebanking.com
• onlineserv/CM
• otm.suntrust.com
• paylinks.cunet.org
• paylinks.cunet.org
• premierview.membersunited.org
• premierview.membersunited.org
• providentnjolb.com
• schwabinstitutional.com
• scotiaconnect.scotiabank.com
• securentrycorp.amegybank.com
• securentrycorp.zionsbank.com
• singlepoint.usbank.com
• svbconnect.com
• tcfexpressbusiness.com
• tdcommercialbanking.com
• tdetreasury.tdbank.com
• tmcb.amegybank.com
• tmcb.zionsbank.com
• tmconnectweb
• treas-mgt.frostbank.com
• treasury.pncbank.com
• trz.tranzact.org
• trz.tranzact.org
• tssportal.jpmorgan.com
• wc.wachovia.com
• wcp.wachovia.com
• web-cashplus.com
• webexpress.tdbank.com
• webinfoplus.mandtbank.com
• wellsoffice.wellsfargo.com

El inicio de sesión falso coincide con la zona de inicio de sesión auténtica del sitio Web, cosa que hace creer al usuario que se trata de parte de la ventana de IE. La página de inicio de sesión falsa está situada en una zona fija del sitio Web auténtico. La mencionada rutina engaña al usuario para que revele información confidencial sobre su cuenta. A continuación registra las pulsaciones que introduce el usuario en los campos de nombre de usuario y contraseña de la página de inicio de sesión falsa.

Recopila los siguientes datos:

• Browser cookies
• Flash cookies
• FTP, POP3, IMAP, SMTP, HTTPMail, NNTP Passwords
• GeoIP locations
• Internet sessions
• Login credentials for certain websites
• Network information
• Outlook login credentials
• Private keys from system certificates
• System information
• dnsname
• domain
• exe
• ext_ip
• hostname
• install_time
• is_admin
• os
• qbot_version
• user

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• b{BLOCKED}.ci

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Este malware se elimina tras la ejecución.