Réparer votre PC ?
Engagez l’expert
Nom:BDS/Qakbot.B.30
La date de la découverte:01/06/2011
Type:Serveur porte dérobée
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Faible
Potentiel de destruction:Moyen
Taille du fichier:267.776 Octets
Somme de contrôle MD5:2751716CC70BC45FD910E3BAFF809A73
Version VDF:7.11.08.220 - mercredi 1 juin 2011
Version IVDF:7.11.08.220 - mercredi 1 juin 2011

 Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation


Les alias:
   •  Kaspersky: Trojan-PSW.Win32.Qbot.cgy
   •  TrendMicro: BKDR_QAKBOT.SMG
   •  Sophos: Mal/FakeAV-IU


Plateformes / Systèmes d'exploitation:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Effets secondaires:
   • Il facilite l'accès non autorisé à l'ordinateur
   • Il crée des fichiers
   • Il modifie des registres
   • Il vole de l'information

 Fichiers Il s'autocopie dans l'emplacement suivant:
   • %ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe



Les fichiers suivants sont créés:

– %ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.dll Les investigations ultérieures ont prouvé que ce ficher est également un Malware. Détecté comme: BDS/Qakbot.B.31

– %ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%_%le nom d'utilisateur courant% Contient des paramètres employé par le malware
– %ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%_%le nom d'utilisateur courant% Contient des paramètres employé par le malware
– %ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.dll
– %ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.dll

 Registre On ajoute une des valeurs suivantes afin de lancer le processus après le redémarrage:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "%chaîne de caractères aléatoire%"="%ALLUSERSPROFILE%\Application Data\Microsoft\%chaîne de caractères aléatoire%\%chaîne de caractères aléatoire%.exe"

 IRC Afin de fournir des informations sur le système et un accès à distance, il se connecte au serveur IRC suivant:

Serveur: **********server.com.ua
Port: 31666

 Arrêt de processus: Les processus avec une des chaînes de caractères suivantes sont terminés:
   • bitdef
   • ccsvchst
   • kaspersky
   • mcafee
   • symantec
   • trendmicro
   • f-prot
   • drweb
   • clam
   • avast


 Porte dérobée Serveur de contact:
Tous les suivants:
   • **********.hunterscentral.com:21
   • **********03.com.ua:80
   • **********1.in:80
   • **********91-83.members.linode.com:80

En conséquence il peut envoyer de l'information et fournir d'accès à distance.

Il envoie de l'information au sujet de:
    • URL consultées
    • Information sur le système d'exploitation Windows


Capacités d'accès à distance:
    • Exécuter un fichier
    • Visiter un site web

 Vol d'informations – il emploie un analyseur de réseau qui vérifie la chaîne de caractères suivante :
   • ibanking-services
   • ibank
   • huntington
   • wellsfargo
   • citigroup
   • bankofamerica
   • 53.com
   • usbank.com

 L'injection du code viral dans d'autres processus – Il s'injecte comme un nouveau fil d'exécution à distance dans un processus.

    Tous les processus suivants:
   • explorer.exe
   • iexplore.exe



But:
L'accès aux sites Web suivants est efficacement bloqué :
   • *avast*; *ca.com*; *omodo*; *cpsecure*; *esafe*; *etrust*; *f-prot*;
      *fortinet*; *hauri*; *ikarus*; *jotti*; *k7computing*; *norton*;
      *pctools*; *sunbelt*; *wilderssecurity*; *threatexpert*; *pamhaus*;
      *securecomputing*; *rising*; *quickheal*; *prevx*; *norman*;
      *networkassociates*; *hacksoft*; *grisoft*; *gdata*; *f-secure*;
      *ewido*; *emsisoft*; *computerassociates*; *centralcommand*;
      *castlecops*; *arcabit*; *ahnlab*; *agnitum*


 Informations divers Accède à des ressources Internet :
   • http://www.ip-adress.com/what_is_my_ip/
   • http://www.ipaddressworld.com/
   • search.msn.com


Il pretend un fichier de confiance:
Sa procès pretend le fichier de confiance suivant: explorer.exe
Attention: Le virus imite même l'icone. Celà donne l'impression que le Malware soit le procès mentionné ci-dessus.

 Détails de fichier Langage de programmation:
 Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
   • UPX

Description insérée par Andrei Ilie le lundi 8 août 2011
Description mise à jour par Andrei Ilie le jeudi 11 août 2011

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.