Author: Sabrina Lei Sioting   
 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se propaga v¨ªa redes compartidas, A trav¨¦s de las unidades f¨ªsicas / extra¨ªble

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

Este malware infiltra copias de s¨ª mismo en las unidades de red.

Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Recopila informaci¨®n espec¨ªfica del sistema afectado.

Supervisa ciertos archivos. Impide que los usuarios visiten sitios Web asociados a antivirus que contengan cadenas espec¨ªficas.

  TECHNICAL DETAILS

File size: 331,776 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 24 marca 2011
PAYLOAD: Drops files, Downloads files, Steals information, Compromises system security

Detalles de entrada

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}\{random filename}.exe

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

Crea las carpetas siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • 1a{host name}

Este malware se inyecta a s¨ª mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

  • IEXPLORE.EXE
  • EXPLORER.EXE

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}\{random filename}.exe"

Modifique las siguientes entradas de registro para garantizar su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = ""%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}\{random filename}.exe" /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Este malware infiltra copias de s¨ª mismo en las unidades de red.

Capacidades de rootkit

Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Rutina de infiltraci¨®n

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}\{random filename1}.dll - detected as TROJ_QAKLOG.SM
  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}\{random filename2}.dll - detected as Mal_Qakcfg1 (encrypted coinfiguration file)
  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random foldername}\{random filename}.dll - also detected as WORM_QBOT.BUD (dll component)

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

Robo de informaci¨®n

Su archivo de configuraci¨®n contiene la siguiente informaci¨®n:

  • Reference to the components and their corresponding random filenames in the system
  • IRC data
  • FTP hosts (upload sites)
  • Infection log

Acepta los siguientes par¨¢metros:

  • /i - drop the dll and config file to current directory
  • /s - start service
  • /t - terminate any process with a similar filename

Recopila la siguiente informaci¨®n del sistema afectado:

  • Account name
  • Browsing activities
  • Certificates
  • City
  • Cookies
  • Country
  • IE password protected sites
  • IE user namesand passwords
  • IP address
  • MSN user name and password
  • Operating system
  • Outlook user name and password
  • Public Storage - SMTP, POP3, LDAP
  • System Information

Env¨ªa la informaci¨®n recopilada a los siguientes sitios Web utilizando las credenciales de su archivo de configuraci¨®n:

  • {BLOCKED}.{BLOCKED}.134.75
  • ftp.{BLOCKED}formation.com
  • ftp.{BLOCKED}central.com
  • s046.{BLOCKED}xmanager.com

Otros detalles

Supervisa los siguientes archivos:

  • chrome.exe
  • firefox.exe
  • iexplore.exe
  • msmsgs.exe
  • msnmsgr.exe
  • opera.exe
  • outlook.exe
  • skype.exe
  • yahoomessenger.exe

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan las siguientes cadenas:

  • .eset
  • agnitum
  • ahnlab
  • arcabit
  • avast
  • avg
  • avira
  • avp
  • bit9
  • bitdefender
  • castlecops
  • centralcommand
  • clamav
  • comodo
  • computerassociates
  • cpsecure
  • defender
  • drweb
  • emsisoft
  • esafe
  • etrust
  • ewido
  • f-prot
  • f-secure
  • fortinet
  • gdata
  • grisoft
  • hacksoft
  • hauri
  • ikarus
  • jotti
  • k7computing
  • kaspersky
  • malware
  • mcafee
  • networkassociates
  • nod32
  • norman
  • norton
  • panda
  • pctools
  • prevx
  • quickheal
  • rising
  • rootkit
  • securecomputing
  • sophos
  • spamhaus
  • spyware
  • sunbelt
  • symantec
  • threatexpert
  • trendmicro
  • virus
  • webroot.
  • wilderssecurity
  • windowsupdate

  SOLUTION

Minimum scan engine: 9.200
First VSAPI Pattern File: 7.922.08
First VSAPI Pattern Release Date: 24 marca 2011
VSAPI OPR PATTERN-VERSION: 7.923.00
VSAPI OPR PATTERN DATE: 25 marca 2011

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_QBOT.BUD

    • TROJ_QAKLOG.SM
    • MAL_QAKCFG1

Step 3

Identificar y eliminar los archivos detectados como WORM_QBOT.BUD mediante el disco de inicio o la Consola de recuperaci¨®n

[ learnMore ]

Step 4

Eliminar la entrada del Registro con un valor de informaci¨®n desconocido LearnHow

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • {random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe&"

Para eliminar la entrada del Registro que este malware ha creado:

  1. Abra el Editor del Registro. Para ello, haga clic en Inicio>Ejecutar, escriba regedit en el cuadro de texto y pulse Intro.
  2. En el panel izquierdo de la ventana Editor del Registro, haga doble clic en el siguiente elemento:
    HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run&&{random characters} = "%System Root%\\Documents and Settings\\All Users\\Application Data\\Microsoft\\{random folder name}\\{random file name}.exe&"
  3. En el panel derecho, busque y elimine la entrada o entradas cuyo valor de informaci¨®n sea la ruta de acceso del malware y el nombre de archivo de los archivos detectados anteriormente.
  4. Cierre el Editor del Registro.

Step 5

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • From: {legitimate application} = ""%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe" /c {path and file name of legitimate application}"
      To: {legitimate application} = {path and file name of legitimate application}

Step 6

Buscar y eliminar estas carpetas

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
  • %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}

Step 7

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como WORM_QBOT.BUD En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.