W32.Qakbot

W32.Qakbot est un ver qui se propage par les partages réseaux.
Le malware est un stealer avec fonctionnalité de keylogger qui vole toute information disponible sur la machine (adresse email, mot de passe, etc).
Les communications se font par FTP et IRC.

W32.Qakbot a été aujouté au MSRT de Microsoft en Décembre 2010 : http://blogs.technet.com/b/mmpc/archive/2010/12/14/msrt-december-if-it-quacks-like-a-bot-it-s-probably-qakbot.aspx

Ce malware peut donc poser de gros problèmes sur les réseaux d’entreprises.

Détection de W32.Qakbot

Crée les fichiers suivants :

  • %System%\sconnect.js
  • %Temp%\drwatson.exe
  • %Temp%\msvcrt81.dll
  • C:\Documents And Settings\All Users\_qbothome\updates.cb
  • C:\Documents And Settings\All Users\_qbothome\_installed
  • C:\Documents And Settings\All Users\_qbothome\_qbot.dll
  • C:\Documents And Settings\All Users\_qbothome\_qbotinj.exe
  • C:\Documents And Settings\All Users\_qbothome\_qbotnti.exe
  • C:\Documents And Settings\All Users\_qbothome\crontab.cb
  • C:\Documents And Settings\All Users\_qbothome\msadvapi32.dll
  • C:\Documents And Settings\All Users\_qbothome\nbl_[USERNAME].txt
  • C:\Documents And Settings\All Users\_qbothome\q1.dll
  • C:\Documents And Settings\All Users\_qbothome\qbot.cb
  • C:\Documents And Settings\All Users\_qbothome\uninstall.tmp
  • C:\windows\_qbot[RANDOM CHARACTERS].exe

Les clefs modifiées pour se charger au démarrage :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ »[LEGITIMATE APPLICATION NAME] » = « \ »C:\Documents And Settings\All Users\_qbothome\_qbotinj.exe\ » \ »C:\Documents And Settings\All Users\_qbothome\_qbot.dll\ » /c [CHEMIN APPLICATION LEGITIME] »

Enfin le malware se connecte aux URLs suivantes :

  • http://{SERVER}/cgi-bin/jl/jloader.pl?loadfile=q
  • http://{SERVER}/cgi-bin/jl/jloader.pl?loadfile=3d
  • http://{SERVER}/cgi-bin/jl/jloader.pl?u=u
  • http://{SERVER}/cgi-bin/clientinfo.pl?cookie=

Vous trouverez une description complète chez Symantec : http://www.symantec.com/security_response/writeup.jsp?docid=2009-050707-0639-99&tabid=2

Supprimer W32.Qakbot

Il est donc conseillé de suivre le Tutorial et Guide Procédure standard de désinfection de virus

Print Friendly, PDF & Email
(Visité 76 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet