BKDR_QBOT.JOE

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Este malware se elimina tras la ejecución.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• Application Data\Microsoft\{random folder name}\{random file name}.exe

Infiltra los archivos siguientes:

• %Application Data%\Microsoft\{random folder}\{random file name}.dll - encrypted configuration file

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\Microsoft\{random folder}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• {malware file name}{random character}

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

• explorer.exe
• iexplore.exe
• outlook.exe
• firefox.exe
• opera.exe
• skype.exe
• msnmsgr.exe
• yahoomessenger.exe
• msmsgs.exe
• wscntfy.exe
• wuauclt.exe
• aim.exe
• svchost.exe

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random name}
Imagepath = "%Application Data%\Microsoft\{random folder name}\{random file name}.exe"

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%Application Data%\Microsoft\{random folder name}\{random file name}.exe"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Download and execute component files
• Download configuration and updates
• Download updated copy of itself
• Uninstall itself
• Kill processes
• Upload files containing stolen information

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}uskmt.pw
• {BLOCKED}heusas.org
• {BLOCKED}masn.net
• {BLOCKED}kdfasjdmtf.org
• {BLOCKED}sgrn.com
• {BLOCKED}maksjdo.net
• {BLOCKED}qmi.net
• {BLOCKED}kyat.org
• {BLOCKED}atdfsaf.net
• {BLOCKED}eyaihudmn.org
• {BLOCKED}kahdmansgip.org
• {BLOCKED}dnaetra.net
• http://{BLOCKED}iyiqxyffdaxljkehn.com/cVTInR2m.php
• http://{BLOCKED}wwrhozt.org/k3EIDaG7sWrR2Vpp.php
• http://{BLOCKED}wwrhozt.org/sBOcDLEUMhIws0vH9CjNm9Db.php
• http://{BLOCKED}hzuritgtjlvak.com/k3EIDaG7sWrR2Vpp.php
• http://{BLOCKED}hzuritgtjlvak.com/sBOcDLEUMhIws0vH9CjNm9Db.php
• http://{BLOCKED}mifoljkfprgfs.net/sBOcDLEUMhIws0vH9CjNm9Db.php
• http://{BLOCKED}xrv.com/cVTInR2m.php
• http://{BLOCKED}qvayz.org/k3EIDaG7sWrR2Vpp.php
• http://{BLOCKED}qvayz.org/sBOcDLEUMhIws0vH9CjNm9Db.php
• http://{BLOCKED}dzlkvkzfpqsyxxhxrq.net/k3EIDaG7swWrR2Vpp.php
• http://{BLOCKED}kvkzfpqsyxxhxrq.net/sBOcDLEUMhIws0vH9CjNm9Db.php

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• {random}_{random}.kcb

Otros detalles

Este malware se elimina tras la ejecución.