Analizzato da: kathleenno   
 

W32.Qakbot (Symantec); Backdoor:Win32/Qakbot (Microsoft); W32/Pinkslipbot.gen.af (Mcafee); Bck/Qbot.AO (Panda)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Worm

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::

  Panoramica e descrizione

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

  Dettagli tecnici

Dimensione file: 272,032 bytes
Tipo di file: EXE
Residente in memoria:
Data di ricezione campioni iniziali: 21 maggio 2011

Instalación

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.dll - also detected as WORM_QAKBOT.BN

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las carpetas siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe" /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)

Propagación

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.