Backdoor.Qbot / Backdoor.Qakbot: rootkit stealer

Une page concernant ce stealer, ce dernier possède des fonctionnalités de rootkits qui fait penser à Zbot/Zeus/Trojan-Banker.Win32.Bancos : Stealer et SpyEye – Trojan.Pincav

Ramasser par  un exploit sur site WEB :http://yimg.co.in/k.php?f=16&e=4

 

Backdoor.Qbot / Backdoor.Qakbot dans le système

Le processus set rootkité, le gestionnaire de tâches et Process Explorer ne le voit pas :

Backdoor.Qbot / Backdoor.Qakbot

Le répertoire contenant le malware n’est pas visible :

Backdoor.Qbot / Backdoor.Qakbot: rootkit stealer

On peux forcer le chemin dans la barre d’adresse mais tous les fichiers ne sont pas visibles :

Backdoor.Qbot / Backdoor.Qakbot

Le malware se charge par une simple clef Run qui n’est pas visible depuis regedit.
HijackThis n’est pas non plus capable de la voir, OTL ne fait pas beaucoup mieux (la DLL est détecté en module mais OTL ne sait pas à quel processus la DLL est rattachée car invisible).
msconfig voir une clef mais ce n’est pas la bonne, décocher la clef ne permet pas d’empêcher le malware de se lancer.

Backdoor.Qbot / Backdoor.Qakbot: rootkit stealerBackdoor.Qbot / Backdoor.Qakbot: rootkit stealer

Le malware utilise le processus msmsgs.exe pour établir une connexion et lance une instant d’Internet Explorer en embedding pour les connexions :

Backdoor.Qbot / Backdoor.Qakbot

Dans le cas de cette variante, une connexion HTTP et établie et une connexion vers une adresse .lu sur le port 31666 pour les échanges de données.

Chose amusante si on kill msmsgs, le malware prend le contrôle d’explorer.exe pour faire lancer une instance d’Internet Explorer :

Backdoor.Qbot / Backdoor.Qakbot

Backdoor.Qbot / Backdoor.Qakbot

Backdoor.Qbot / Backdoor.QakbotExemple de connexion WEB établies par le malware :

1302789942.837    733 192.168.1.27 TCP_MISS/200 368 POST http://du01.in/t – DIRECT/193.169.87.242 text/html
1302789943.398    541 192.168.1.27 TCP_MISS/200 417 GET http://du01.in/u/upd.cb – DIRECT/193.169.87.242 text/plain
1302789944.058    658 192.168.1.27 TCP_MISS/200 337 POST http://du01.in/t – DIRECT/193.169.87.242 text/html

Détection et éradication

Exemple de détection de l’executable :

http://www.virustotal.com/file-scan/report.html?id=8b9a84da59ceb0936358437337b6343e96bcfcdcbf0c3f2da40b71004c54dfd2-1302746752

File name: k.php
Submission date: 2011-04-14 02:05:52 (UTC)
Current status: finished
Result: 15 /42 (35.7%)
VT Community

not reviewed
Safety score: –

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.04.13.01 2011.04.13 –
AntiVir 7.11.6.101 2011.04.14 TR/Agentbypass.K.17
Antiy-AVL 2.0.3.7 2011.04.13 –
Avast 4.8.1351.0 2011.04.13 –
Avast5 5.0.677.0 2011.04.13 –
AVG 10.0.0.1190 2011.04.13 SHeur3.BUML
BitDefender 7.2 2011.04.14 Trojan.Generic.KD.186263
CAT-QuickHeal 11.00 2011.04.13 –
ClamAV 0.97.0.0 2011.04.13 Heuristic.Trojan.SusPacked.FFXPU
Commtouch 5.2.11.5 2011.04.14 –
Comodo 8332 2011.04.14 Heur.Suspicious
DrWeb 5.0.2.03300 2011.04.14 –
Emsisoft 5.1.0.5 2011.04.14 –
eSafe 7.0.17.0 2011.04.13 –
eTrust-Vet 36.1.8270 2011.04.13 –
F-Prot 4.6.2.117 2011.04.13 –
F-Secure 9.0.16440.0 2011.04.14 Trojan.Generic.KD.186263
Fortinet 4.2.257.0 2011.04.14 –
GData 22 2011.04.14 Trojan.Generic.KD.186263
Ikarus T3.1.1.103.0 2011.04.14 –
Jiangmin 13.0.900 2011.04.13 –
K7AntiVirus 9.96.4382 2011.04.13 –
Kaspersky 7.0.0.125 2011.04.14 Trojan-Spy.Win32.Zbot.bjaw
McAfee 5.400.0.1158 2011.04.14 Generic.dx!xyi
McAfee-GW-Edition 2010.1C 2011.04.13 Artemis!E918BBDBAAA6
Microsoft 1.6702 2011.04.14 TrojanSpy:Win32/Malintent
NOD32 6039 2011.04.14 Win32/Qbot.AN
Norman 6.07.07 2011.04.13 –
Panda 10.0.3.5 2011.04.13 Bck/Qbot.AO
PCTools 7.0.3.5 2011.04.13 –
Prevx 3.0 2011.04.14 –
Rising 23.53.02.06 2011.04.13 –
Sophos 4.64.0 2011.04.14 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.04.12 –
Symantec 20101.3.2.89 2011.04.14 W32.Qakbot
TheHacker 6.7.0.1.173 2011.04.13 –
TrendMicro 9.200.0.1012 2011.04.13 –
TrendMicro-HouseCall 9.200.0.1012 2011.04.14 –
VBA32 3.12.16.0 2011.04.13 –
VIPRE 9011 2011.04.14 –
ViRobot 2011.4.13.4408 2011.04.13 –
VirusBuster 13.6.303.0 2011.04.13 –
Additional informationShow all
MD5   : e918bbdbaaa627f827d0470bce72098b
SHA1  : 0958169b61436828e450f7d70acbb098d06e2f7d
SHA256: 8b9a84da59ceb0936358437337b6343e96bcfcdcbf0c3f2da40b71004c54dfd2

et une des DLL qui l’accompagne : 

File name: cuuucozcj.dll
Submission date: 2011-04-14 10:48:46 (UTC)
Current status: finished
Result: 6 /41 (14.6%)

Compact Print results
Antivirus Version Last Update Result
AhnLab-V3 2011.04.14.00 2011.04.14 –
AntiVir 7.11.6.107 2011.04.14 –
Antiy-AVL 2.0.3.7 2011.04.14 –
Avast 4.8.1351.0 2011.04.14 –
Avast5 5.0.677.0 2011.04.14 –
AVG 10.0.0.1190 2011.04.14 –
BitDefender 7.2 2011.04.14 –
CAT-QuickHeal 11.00 2011.04.14 –
ClamAV 0.97.0.0 2011.04.14 –
Commtouch 5.2.11.5 2011.04.14 –
Comodo 8337 2011.04.14 –
DrWeb 5.0.2.03300 2011.04.14 –
eSafe 7.0.17.0 2011.04.13 –
eTrust-Vet 36.1.8271 2011.04.14 –
F-Prot 4.6.2.117 2011.04.13 –
F-Secure 9.0.16440.0 2011.04.14 –
Fortinet 4.2.257.0 2011.04.14 –
GData 22 2011.04.14 –
Ikarus T3.1.1.103.0 2011.04.14 –
Jiangmin 13.0.900 2011.04.13 –
K7AntiVirus 9.96.4382 2011.04.13 –
Kaspersky 7.0.0.125 2011.04.14 –
McAfee 5.400.0.1158 2011.04.14 W32/Pinkslipbot
McAfee-GW-Edition 2010.1C 2011.04.14 –
Microsoft 1.6702 2011.04.14 –
NOD32 6040 2011.04.14 Win32/Qbot.AV
Norman 6.07.07 2011.04.13 –
Panda 10.0.3.5 2011.04.14 Bck/Qbot.AO
PCTools 7.0.3.5 2011.04.13 –
Prevx 3.0 2011.04.14 High Risk Fraudulent Security Program
Rising 23.53.02.06 2011.04.13 Suspicious
Sophos 4.64.0 2011.04.14 –
SUPERAntiSpyware 4.40.0.1006 2011.04.14 –
Symantec 20101.3.2.89 2011.04.14 W32.Qakbot
TheHacker 6.7.0.1.173 2011.04.13 –
TrendMicro 9.200.0.1012 2011.04.14 –
TrendMicro-HouseCall 9.200.0.1012 2011.04.14 –
VBA32 3.12.16.0 2011.04.13 –
VIPRE 9011 2011.04.14 –
ViRobot 2011.4.14.4410 2011.04.14 –
VirusBuster 13.6.303.0 2011.04.13 –
Additional informationShow all
MD5   : dadd5d0b6c8015936c25a2dc05aae744
SHA1  : 345e164e7ae80094e3f5e2ceffc93f9333e7b902
SHA256: bddf54fb2e253774c0d36aef8f727142f64dde16ebf8bc96cb32aa53dfca4c0b

Au niveau de la suppression

NOTE : une page de suppression existe pour ce malware :W32.Qakbot

Concernant la suppression, Malwarebyte, comme OTL, détecte le module mais pas le reste.

La DLL est détecté en Spyware.Passwords.XGen
Le reste ne l’est pas.
A noter les détections de yo1 et yo en témoin qui sont les DLL et exe mais pas rootkité que Malwarebyte détecte bien.
Le malware rootkité pose quelques soucis.

Malwarebytes’ Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6363

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

14/04/2011 18:25:53
mbam-log-2011-04-14 (18-25-53).txt

Type d’examen: Examen rapide
Elément(s) analysé(s): 135070
Temps écoulé: 7 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\documents and settings\all users\application data\microsoft\eujeiu\eujeiu.dll (Spyware.Passwords.XGen) -> Delete on reboot.
c:\program files\internet explorer\setupapi.dll (Trojan.BHO) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\WINDOWS\system32\lowsec (Stolen.data) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\RECYCLER\s-1-5-21-823518204-725345543-786100373-1003\Dc15.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\_ex-08.exe (Trojan.Bredolab) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\_ex-68.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\sdra64.exe (Trojan.PWS) -> Quarantined and deleted successfully.
c:\documents and settings\Mak\Bureau\yo (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\Mak\Bureau\yo1 (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\Mak\local settings\Temp\TMP5.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\documents and settings\Mak\local settings\Temp\buvho.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\Mak\local settings\temporary internet files\Content.IE5\MKE5E7G6\calc[1].exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\microsoft\eujeiu\eujeiu.dll (Spyware.Passwords.XGen) -> Delete on reboot.
c:\program files\internet explorer\setupapi.dll (Trojan.BHO) -> Delete on reboot.
c:\program files\mozilla firefox\setupapi.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Backdoor.Qbot / Backdoor.Qakbot: rootkit stealer

Au redémarrage le malware n’est plus actif. Du coup, le fichier est visible depuis l’explorateur de fichier et donc à la merci des antivirus.

 

Backdoor.Qbot / Backdoor.Qakbot: rootkit stealerUn second passage de Malwarebyte qui détecte le fichier et la clef Run sans souci.

 

Backdoor.Qbot / Backdoor.Qakbot: rootkit stealerA noter, vu que le malware se charge par une clef Run, il ne serait pas actif en mode sans échec, dès lors Malwarebyte supprimera l’infection en un seul scan.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 21 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *