BKDR_QAKBOT.MEQH

Verbindet sich mit einer bestimmten Website, um Daten zu versenden und zu empfangen.

Installation

Schleust folgende Komponentendateien ein:

• %Application Data%\Microsoft\{random folder}\{random file name}.dll
• %Application Data%\Microsoft\{random folder}\{random file name}.dat
• %Application Data%\Microsoft\{random folder}\{random file name}.exe ← Dropped Copy
• %AppDataLocal%\Microsoft\{random file name}.wpl ← Javascript component

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• explorer.exe

Erstellt die folgenden Ordner:

• %Application Data%\Microsoft\{random folder}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Injiziert Code in die folgenden Prozesse:

• explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%Application Data%\Microsoft\{random folder name}\{random file name}.exe"

Prozessbeendigung

Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• windbg.exe
• ChromeUpdate.exe
• msdev.exe
• dbgview.exe
• ollydbg.exe
• ctfmon.exe
• Proxifier.exe
• nav.exe

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• tbank.com
• business-eb.ibanking-services.com
• treasury.pncbank.com
• access.jpmorgan.com
• tssportal.jpmorgan.com
• ktt.key.com
• onlineserv/CM
• premierview.membersunited.org
• directline4biz.com
• .webcashmgmt.com
• tmconnectweb
• moneymanagergps.com
• ibc.klikbca.com
• directpay.wellsfargo.com
• express.53.com
• ctm.53.com
• itreasury.regions.com
• itreasurypr.regions.com
• cpw-achweb.bankofamerica.com
• businessaccess.citibank.citigroup.com
• businessonline.huntington.com
• /cmserver/
• goldleafach.com
• iachwellsprod.wellsfargo.com
• achbatchlisting
• /achupload
• commercial2.wachovia.com
• commercial3.wachovia.com
• commercial4.wachovia.com
• wc.wachovia.com
• commercial.wachovia.com
• wcp.wachovia.com
• chsec.wellsfargo.com
• wellsoffice.wellsfargo.com
• /ibws/
• /stbcorp/
• /payments/ach
• trz.tranzact.org
• /wiret
• /payments/ach
• cbs.firstcitizensonline.com
• /corpach/
• scotiaconnect.scotiabank.com
• webexpress.tdbank.com
• businessonline.tdbank.com
• /wcmpw/
• /wcmpr/
• /wcmtr/
• tcfexpressbusiness.com
• trz.tranzact.org

Folgende Daten werden gesammelt:

• GeoIP locations
• Browser cookies
• Flash cookies
• Network information
• System information
• FTP, POP3, IMAP, SMTP, HTTPMail, NNTP Passwords
• Outlook login credentials
• Private keys from system certificates
• Login credentials for certain websites
• Internet sessions

Andere Details

Verbindet sich mit der folgenden Website, um Daten zu versenden und zu empfangen:

• {BLOCKED}.{BLOCKED}.19.94:995