A tíz éves Qbot pénzügyi vírus továbbfejlesztett változatban indít támadást a vállalkozások ellen, amelyeket már eddig is ezerszám fertőzött meg.
A Qbot az utóbbi évek egyik legsikeresebb kártevője, amely online bankolási azonosítókat ellopó trójaiként kezdte pályafutását, de később számos továbbfejlesztést élt meg.
A Varonis biztonsági cég által azonosított legújabb változat első telepítője, vagy "droppere" .doc.vbs kiterjesztésű email-mellékletben érkezik. A VBS egy szkriptnyelv, amit beépítve támogat a Windows.
A szkript ezután egy C&C szerverről letölti a Qbot loadert, amely végrehajtja a vírus magkódját.
A Varonis által talált loaderek nyolc különböző - minden bizonnyal lopott - hitelesítő aláírással voltak ellátva. Az ilyen fájlt a Windows megbízhatóbbnak tartja, és a rosszul beállított rendszerek akár automatikusan is végrehajthatják.
Telepítés után a Qbot különféle ütemezett feladatokat hoz létre, és átírja a rendszerleíró adatbázist. Ezután rögzíti a billentyűleütéseket, és kártyaazonosítókat lop, illetve pénzügyi vonatkozású szövegeket keres és tulajdonít el.
