live casino online

Wird m?glicherweise von anderer Malware eingeschleust. Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Verf¨¹gt auch ¨¹ber Rootkit-F?higkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden k?nnen.

?ffnet Websites, um Dateien herunterzuladen. Dadurch kann diese Malware m?glicherweise andere Malware auf dem betroffenen Computer hinterlassen. Anschlie?end werden die heruntergeladenen Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden. Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Sammelt bestimmte Informationen auf dem betroffenen Computer. Versendet die gesammelten Daten an externe Websites.

?bertragungsdetails

Wird m?glicherweise von anderer Malware eingeschleust.

Wird m?glicherweise unwissentlich von einem Benutzer beim Besuch b?sartiger Websites heruntergeladen.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz\q1.{random number}

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Erstellt die folgenden Ordner:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\qgewcjtlz

(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)

Rootkit-Funktionen

Verf¨¹gt auch ¨¹ber Rootkit-F?higkeiten, wodurch die eigenen Prozesse und Dateien vor dem Benutzer versteckt werden k?nnen.

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgef¨¹hrt werden:

• ccApp.exe
• cmd.exe
• ctfmon.exe
• dbgview.exe
• far.exe
• mirc.exe
• mmc.exe
• msdev.exe
• nc.exe
• ollydbg.exe
• outlook.exe
• photoed
• R&Q.exe
• skype

Download-Routine

?ffnet Websites, um die folgenden Dateien herunterzuladen:

• aaveimi - detected as TROJ_BAMITAL.AQ
• qgewcjtlz.exe - detected as TROJ_BAMITAL.AQ
• qgewcjtl.dll - contains encrypted data
• qgewcjtlz.dl - detected as TSPY_QBOT.N
• qgewcjtlzyw.dll - detected as TSPY_QBOT.N
• qgewcjtlzxn.exe - detected as TROJ_BAMITAL.AQ
• xujqa2y - contains encrypted data

Speichert die heruntergeladenen Dateien unter den folgenden Namen:

• alias__qbotnti.exe
• alias__qbotinj.exe
• alias__qbot.cb
• _qbotinj.exe
• _qbotnti.exe
• q3.dll
• _qbot.dll
• alias__qbot.dll
• crontab.cb
• /u/updates98.cb
• alias_updates.cb
• /u/updates.cb
• updates1.cb
• updates*_new.cb

Anschlie?end werden die heruntergeladenen Dateien ausgef¨¹hrt. Dadurch k?nnen die b?sartigen Routinen der heruntergeladenen Dateien auf dem betroffenen System aktiv werden.

Speichert die heruntergeladenen Dateien im besagten, neu erstellten Ordner.

Datendiebstahl

?berwacht auf dem betroffenen System die Aktivit?ten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtm??ige Website mit einer gef?lschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• singlepoint.usbank.com
• netconnect.bokf.com
• business-eb.ibanking-services.com
• cashproonline.bankofamerica.com
• /cashplus/
• ebanking-services.com
• /cashman/
• web-cashplus.com
• treas-mgt.frostbank.com
• business-eb.ibanking-services.com
• treasury.pncbank.com
• access.jpmorgan.com
• ktt.key.com
• onlineserv/CM
• premierview.membersunited.org
• directline4biz.com
• onb.webcashmgmt.com
• tmconnectweb
• moneymanagergps.com
• ibc.klikbca.com
• directpay.wellsfargo.com
• express.53.com
• itreasury.regions.com
• itreasurypr.regions.com
• cpw-achweb.bankofamerica.com
• businessaccess.citibank.citigroup.com
• businessonline.huntington.com

Sammelt die folgenden Informationen auf dem betroffenen Computer:

• ext_ip
• dnsname
• hostname
• country
• state
• city
• user
• domain
• is_admin
• os
• time
• qbot_version

Versendet die gesammelten Daten an externe Websites.