Need help? Ask the community or hire an expert.
Go to Avira Answers
Nume:BDS/Qakbot.A.23
Descoperit pe data de:15/04/2011
Tip:Backdoor Server
ITW:Da
Numar infectii raportate:Scazut spre mediu
Potential de raspandire:Scazut spre mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:348.240 Bytes
MD5:7424b691e2ab78511e7c9679674a0016
Versiune VDF:7.11.06.137 - vineri, 15 aprilie 2011
Versiune IVDF:7.11.06.137 - vineri, 15 aprilie 2011

 General Metoda de raspandire:
    Messenger


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bjjv
   •  F-Secure: Trojan-Spy.Win32.Zbot.bjjv
   •  Bitdefender: Trojan.Generic.5954028
     GData: Trojan.Generic.5954028
     DrWeb: Trojan.DownLoader2.35423


Sistem de operare:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Creeaza fisiere malware
   • Modificari in registri
   • Sustrage informatii

 Fisiere Se copiaza in urmatoarea locatie:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe



Sunt create fisierele:

%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll
%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny.dll



Incearca sa execute urmatoarele fisiere:

Numele fisierului:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe


Numele fisierului:
   • cmd /c ping -n 10 localhost && del "%fisier executat%"


Numele fisierului:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "zhpauja"=""%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe""

 Messenger Se raspandeste prin messenger. Caracteristicile sunt:

Windows Live Messenger

URL-ul trimte la o copie a malware-ului descris. Daca utilizatorul descarca si executa acest fisier, procesul de infectare porneste din nou.

 Furt de informatii Incearca sa obtina urmatoarele informatii:
 Parole tastate in campuri de logare
 Parole stocate, folosite de functia AutoComplete

Parolele din urmatoarele programe:
   • Internet Explorer
   • Mozilla Firefox
   • Microsoft Outlook

 Injectarea codului malware in alte procese –  Injecteaza fisierul urmator intr-un proces: %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll

    Numele procesului:
   • explorer.exe


 Alte informatii  Cauta o conexiune Internet, contactand urmatoarele site-uri web:
   • http://www.ip-adress.com
   • http://www.ipaddressworld.com
Acceseaza resurse de pe internet:
   • http://bgstat.in/**********
   • http://bgstat.in/**********


Mutex:
Creeaza urmatorii mutecsi:
   • uaiwny6%numele utilizatorului curent%
   • uaiwny%numele utilizatorului curent%

 Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description inserted by Petre Galan on Monday, June 6, 2011
Description updated by Petre Galan on Monday, June 6, 2011

Back . . . .