TROJ_QAKBOT
Qakbot, Qbot
Windows 2000, Windows XP, Windows Server 2003
Type de grayware:
Trojan
Destructif:
Non
Chiffrement:
In the wild::
Oui
Overview
Détails techniques
Installation
Schleust die folgenden Dateien ein:
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.dll
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name1}.dll
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name2}.dll
- %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}\{random file name}.dll
- %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}\{random file name1}.dll
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe
- %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}\{random file name}.exe
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Erstellt die folgenden Ordner:
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}
- %System Root%\Documents and Settings\All Users\Microsoft\{random folder name}
- %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\u
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.)
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System Root%\Documents and Settings\All Users\Microsoft\{random characters}\{random characters}.exe"
Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = ""%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe" /c {path and file name of legitimate application}"
(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = ""%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe" /c {path and file name of legitimate application}"
(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)