Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:BDS/Qakbot.A.23
La date de la découverte:15/04/2011
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible a moyen
Potentiel de distribution:Faible a moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:348.240 Octets
Somme de contrôle MD5:7424b691e2ab78511e7c9679674a0016
Version VDF:7.11.06.137 - vendredi 15 avril 2011
Version IVDF:7.11.06.137 - vendredi 15 avril 2011

 Général Méthode de propagation:
   • Programme de messagerie


Les alias:
   •  Kaspersky: Trojan-Spy.Win32.Zbot.bjjv
   •  F-Secure: Trojan-Spy.Win32.Zbot.bjjv
   •  Bitdefender: Trojan.Generic.5954028
   •  GData: Trojan.Generic.5954028
   •  DrWeb: Trojan.DownLoader2.35423


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers malveillants
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe



Les fichiers suivants sont créés:

– %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll
– %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny.dll



Il essaie d’exécuter les fichiers suivants :

– Nom de fichier: Noms des fichiers:
   • %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe


– Nom de fichier: Noms des fichiers:
   • cmd /c ping -n 10 localhost && del "%le fichier exécuté%"


– Nom de fichier: Noms des fichiers:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "zhpauja"=""%ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.exe""

 Programme de messagerie Il se répand par l'intermédiaire du programme de messagerie. Les caractéristiques sont décrites ci-dessous:

– Windows Live Messenger

Le URL se rapporte alors à une copie du malware décrit. Si l'utilisateur télécharge et exécute ce fichier le procédé d'infection commencera encore.

 Vol d'informations Il essaie de voler l'information suivante:
– Les mots de passe tapé dans les champs 'insérer le mot de passe'
– Les mots de passe employés par la fonction AutoComplete

– Les mots de passe des programmes suivants:
   • Internet Explorer
   • Mozilla Firefox
   • Microsoft Outlook

 L'injection du code viral dans d'autres processus –  Il injecte le fichier suivant dans un processus: %ALLUSERSPROFILE%\application data\microsoft\uaiwny6\uaiwny6.dll

    Nom du processus :
   • explorer.exe


 Informations divers  Il vérifie l'existence d'une connexion Internet en contactant les sites web suivants:
   • http://www.ip-adress.com
   • http://www.ipaddressworld.com
Accède à des ressources Internet :
   • http://bgstat.in/**********
   • http://bgstat.in/**********


Mutex:
Il crée les Mutex suivants:
   • uaiwny6%le nom d'utilisateur courant%
   • uaiwny%le nom d'utilisateur courant%

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Petre Galan le lundi 6 juin 2011
Description mise à jour par Petre Galan le lundi 6 juin 2011

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.