BKDR_QAKBOT.RV
Backdoor:Win32/Qakbot.gen!C (Microsoft), Trojan.Win32.Pincav.cmxz (Kaspersky), W32.Qakbot (Symantec), W32/Pinkslipbot!96EBCC17F97F (Nod32), Backdoor.Win32.Qakbot (Sunbelt)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Type de grayware:
Backdoor
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.
Détails techniques
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %Application Data%\Microsoft\{random folder name}\{random file name}.exe
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)
Die Injizierung erfolgt in alle laufenden Prozesse, um im Speicher resident zu verbleiben.
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%Application Data%\Microsoft\{random folder name}\{random file name}.exe"
Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ctfmon.exe = ""%Application Data%\Microsoft\{random folder name}\{random file name}.exe" /c %System%\ctfmon.exe"
(Note: The default value data of the said registry entry is %System%\ctfmon.exe.)
Andere Details
Schleust folgende Dateien/Komponenten ein:
- %Application Data%\Microsoft\{random folder name}\{random file name 2}.dll
(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)