W32.Qakbot

W32.Qakbot est un ver qui se propage par les partages réseaux.
Le malware est un stealer avec fonctionnalité de keylogger qui vole toute information disponible sur la machine (adresse email, mot de passe, etc).
Les communications se font par FTP et IRC.

W32.Qakbot a été aujouté au MSRT de Microsoft en Décembre 2010 : http://blogs.technet.com/b/mmpc/archive/2010/12/14/msrt-december-if-it-quacks-like-a-bot-it-s-probably-qakbot.aspx

Ce malware peut donc poser de gros problèmes sur les réseaux d’entreprises.

Détection de W32.Qakbot

Crée les fichiers suivants :

  • %System%\sconnect.js
  • %Temp%\drwatson.exe
  • %Temp%\msvcrt81.dll
  • C:\Documents And Settings\All Users\_qbothome\updates.cb
  • C:\Documents And Settings\All Users\_qbothome\_installed
  • C:\Documents And Settings\All Users\_qbothome\_qbot.dll
  • C:\Documents And Settings\All Users\_qbothome\_qbotinj.exe
  • C:\Documents And Settings\All Users\_qbothome\_qbotnti.exe
  • C:\Documents And Settings\All Users\_qbothome\crontab.cb
  • C:\Documents And Settings\All Users\_qbothome\msadvapi32.dll
  • C:\Documents And Settings\All Users\_qbothome\nbl_[USERNAME].txt
  • C:\Documents And Settings\All Users\_qbothome\q1.dll
  • C:\Documents And Settings\All Users\_qbothome\qbot.cb
  • C:\Documents And Settings\All Users\_qbothome\uninstall.tmp
  • C:\windows\_qbot[RANDOM CHARACTERS].exe

Les clefs modifiées pour se charger au démarrage :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ »[LEGITIMATE APPLICATION NAME] » = « \ »C:\Documents And Settings\All Users\_qbothome\_qbotinj.exe\ » \ »C:\Documents And Settings\All Users\_qbothome\_qbot.dll\ » /c [CHEMIN APPLICATION LEGITIME] »

Enfin le malware se connecte aux URLs suivantes :

  • http://{SERVER}/cgi-bin/jl/jloader.pl?loadfile=q
  • http://{SERVER}/cgi-bin/jl/jloader.pl?loadfile=3d
  • http://{SERVER}/cgi-bin/jl/jloader.pl?u=u
  • http://{SERVER}/cgi-bin/clientinfo.pl?cookie=

Vous trouverez une description complète chez Symantec : http://www.symantec.com/security_response/writeup.jsp?docid=2009-050707-0639-99&tabid=2

Supprimer W32.Qakbot

Il est donc conseillé de suivre le Tutorial et Guide Procédure standard de désinfection de virus

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 29 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *