Análisis realizado por : kathleenno   
 Alias

W32.Qakbot (Symantec); Backdoor:Win32/Qakbot (Microsoft); W32/Pinkslipbot.gen.af (Mcafee); Bck/Qbot.AO (Panda)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

  Detalles técnicos

Tamaño del archivo 272,032 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 21 de mayo de 2011

Instalación

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.dll - also detected as WORM_QAKBOT.BN

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las carpetas siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random characters}\{random characters}.exe" /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)

Propagación

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.