WORM_QAKBOT.QRZ

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Recopila información específica del sistema afectado.

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan cadenas específicas.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder}\{random name}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Infiltra los archivos siguientes:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder}\{random name}.dll - encrypted configuration file detected as MAL_QAKCFG1

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware infiltra el/los siguiente(s) archivo(s):

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder}\{random name}.dll - also detected as WORM_QAKBOT.QRZ

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las carpetas siguientes:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder}

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Este malware se inyecta en los siguientes procesos que se ejecutan en la memoria:

• iexplore.exe
• explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random name} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{legitimate application} = "%System Root%\Documents and Settings\All Users\Application Data\Microsoft\{random folder name}\{random file name}.exe /c {path and file name of legitimate application}"

(Note: The default value data of the said registry entry is {path and file name of legitimate application}.)

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {random name}_Documents.exe

Robo de información

Recopila la siguiente información del sistema afectado:

• Account name
• City
• Country
• IE password protected sites
• IE user names and passwords
• IP address
• MSN user name and password
• Operating system
• Outlook user name and password

Otros detalles

Impide que los usuarios visiten sitios Web asociados a antivirus que contengan las siguientes cadenas:

• .eset
• agnitum
• ahnlab
• arcabit
• avast
• avg
• avira
• avp
• bit9
• bitdefender
• castlecops
• centralcommand
• clamav
• comodo
• computerassociates
• cpsecure
• defender
• drweb
• emsisoft
• esafe
• etrust
• ewido
• f-prot
• f-secure
• fortinet
• gdata
• grisoft
• hacksoft
• hauri
• ikarus
• jotti
• k7computing
• kaspersky
• malware
• mcafee
• networkassociates
• nod32
• norman
• norton
• panda
• pctools
• prevx
• quickheal
• rising
• rootkit
• securecomputing
• sophos
• spamhaus
• spyware
• sunbelt
• symantec
• threatexpert
• trendmicro
• virus
• webroot.
• wilderssecurity
• windowsupdate