Alias

Qakbot, Qbot

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Se propaga v¨ªa unidades extra¨ªbles, Se propaga v¨ªa vulnerabilidades de software, Descargado de Internet


  Detalles t¨¦cnicos

Residente en memoria ³§¨ª
Carga ¨²til Connects to URLs/IPs, Compromises system security, Steals information

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.dll
  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name1}.dll
  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name2}.dll
  • %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}\{random file name}.dll
  • %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}\{random file name1}.dll

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe
  • %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}\{random file name}.exe

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

Crea las carpetas siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}
  • %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}
  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\u

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Microsoft\{random characters}\{random characters}.exe"

Modifique las siguientes entradas de registro para garantizar su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = ""%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe" /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = ""%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe" /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)