BKDR_QAKBOT.MEOP

Führt Befehle eines externen, böswilligen Benutzers aus, wodurch das betroffene System gefährdet wird. Verbindet sich mit einer Website, um Daten zu versenden und zu empfangen.

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die bestimmte Zeichenfolgen enthalten. Löscht sich nach der Ausführung selbst.

Installation

Schleust die folgenden Dateien ein:

• %Application Data%\Microsoft\{random folder}\{random file name}.dll
• %Application Data%\Microsoft\{random folder}\{random file name}32.dll

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Schleust die folgenden Eigenkopien in das betroffene System ein:

• %Application Data%\Microsoft\{random folder}\{random file name}.exe

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt die folgenden Prozesse hinzu:

• explorer.exe

Erstellt die folgenden Ordner:

• %Application Data%\Microsoft\{random folder}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Wird in die folgenden Prozesse injiziert, die im Arbeitsspeicher ausgeführt werden:

• created explorer.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%All Users Profile%\Application Data\Microsoft\{random folder name}\{random file name}.exe"

Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gewährleisten, dass diese bei jedem Systemstart automatisch ausgeführt wird. Erstellt dafür die folgenden Registrierungseinträge:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random key}
ImagePath = "%Application Data%\Microsoft\{random folder}\{random file name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random key}
DisplayName = "Remote Procedure Call (RPC) Service"

Registriert die eigene eingeschleuste Komponente als Systemdienst, um zu gewährleisten, dass diese bei jedem Systemstart automatisch ausgeführt wird. Erstellt dafür die folgenden Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random key}

Andere Systemänderungen

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
2500 = "3"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
2500 = "3"

Backdoor-Routine

Führt die folgenden Befehle eines externen, böswilligen Benutzers aus:

• Download and execute component files
• Download configuration and updates
• Download updated copy of itself
• Uninstall itself
• Kill processes
• Upload files containing stolen information
• Perform FTP functionalities

Verbindet sich mit den folgenden Websites, um Daten zu versenden und zu empfangen.

• http://{BLOCKED}t.{BLOCKED}izzade.com/pHVgHXc8g05qdgamO3ZHq.php

Prozessbeendigung

Beendet die folgenden Prozesse, wenn sie im Speicher des betroffenen Systems ausgeführt werden:

• msdev.exe
• dbgview.exe
• ollydbg.exe
• ctfmon.exe
• Proxifier.exe

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• .hsbcnet.com
• .web-access.com
• .webcashmgmt.com
• /achupload
• /cashman/
• /cashplus/
• /clkccm/
• /cmserver/
• /corpach/
• /ibws/
• /payments/ach
• /stbcorp/
• /wcmpr/
• /wcmpw/
• /wcmtr/
• /wires/
• /wiret
• access.jpmorgan.com
• accessonline.abnamro.com
• achbatchlisting
• bankeft.com
• blilk.com
• business-eb.ibanking-services.com
• businessaccess.citibank.citigroup.com
• businessbankingcenter.synovus.com
• businessinternetbanking.synovus.com
• businessonline.huntington.com
• businessonline.tdbank.com
• cashmanageronline.bbt.com
• cashproonline.bankofamerica.com
• cbs.firstcitizensonline.com
• chsec.wellsfargo.com
• cmol.bbt.com
• cmoltp.bbt.com
• commercial.bnc.ca
• commercial.wachovia.com
• commercial2.wachovia.com
• commercial3.wachovia.com
• commercial4.wachovia.com
• corporatebanking
• cpw-achweb.bankofamerica.com
• ctm.53.com
• directline4biz.com
• directpay.wellsfargo.com
• e-facts.org
• e-moneyger.com
• each.bremer.com
• ebanking-services.com
• ebc_ebc
• express.53.com
• firstmeritib.com
• firstmeritib.com/defaultcorp.aspx
• goldleafach.com
• iachwellsprod.wellsfargo.com
• ibc.klikbca.com
• iris.sovereignbank.com
• itreasury.regions.com
• itreasurypr.regions.com
• jsp/mainWeb.jsp
• ktt.key.com
• moneymanagergps.com
• netconnect.bokf.com
• nj00-wcm
• ocm.suntrust.com
• onlineserv/CM
• otm.suntrust.com
• paylinks.cunet.org
• premierview.membersunited.org
• providentnjolb.com
• scotiaconnect.scotiabank.com
• securentrycorp.amegybank.com
• securentrycorp.zionsbank.com
• singlepoint.usbank.com
• svbconnect.com
• tcfexpressbusiness.com
• tdetreasury.tdbank.com
• tmcb.zionsbank.com
• tmconnectweb
• treas-mgt.frostbank.com
• treasury.pncbank.com
• trz.tranzact.org
• tssportal.jpmorgan.com
• wc.wachovia.com
• wcp.wachovia.com
• web-cashplus.com
• webexpress.tdbank.com
• wellsoffice.wellsfargo.com

Folgende Daten werden gesammelt:

• GeoIP locations
• Browser cookies
• Flash cookies
• Network information
• System information
• FTP, POP3, IMAP, SMTP, HTTPMail, NNTP Passwords
• Outlook login credentials
• Private keys from system certificates
• Login credentials for certain websites
• Internet sessions

Andere Details

Verhindert, dass Benutzer Antiviren-bezogene Websites aufrufen können, die folgende Zeichenfolgen enthalten:

• .eset
• agnitum
• ahnlab
• arcabit
• avast
• avg
• avira
• avp
• bit9
• bitdefender
• castlecops
• centralcommand
• clamav
• clearclouddns
• comodo
• computerassociates
• cpsecure
• defender
• download.microsoft.
• drweb
• emsisoft
• esafe
• etrust
• ewido
• explabs.
• f-prot
• f-secure
• fortinet
• gdata
• grisoft
• hacksoft
• hauri
• hautesecure.com
• ikarus
• jotti
• k7computing
• kaspersky
• malware
• mcafee
• networkassociates
• nod32
• norman
• norton
• panda
• pctools
• phishtank.com
• prevx
• quickheal
• rising
• rootkit
• sanasecurity
• securecomputing
• sophos
• spamhaus
• spyware
• sunbelt
• symantec
• threatexpert
• threatfire
• trendmicro
• truste.com
• update.microsoft.
• virus
• webroot.
• wilderssecurity
• windowsupdate

Löscht sich nach der Ausführung selbst.