Een virus dat onlangs 1.500 Amerikaanse overheidscomputers infecteerde, blijkt dagelijks 250MB aan wachtwoorden en andere vertrouwelijke gegevens te stelen. Qakbot werd eind 2009 voor het eerst opgemerkt en haalde het nieuws toen het 1.100 computers van een Britse nationale zorgverlener besmette. Lange tijd was het stil rondom de malware, maar sinds april is er een explosieve stijging van het aantal infecties.

Qakbot verspreidt zich via drive-by downloads, gedeelde netwerkschijven en USB-sticks. Het steelt toetsaanslagen, certificaten, POP3 wachtwoorden, FTP inloggegevens en sessie-tokens voor internetbankieren. Het stelt een lokale SOCKS server in die de malware-auteur gebruikt om via de besmette computer toegang tot de online bankrekening te krijgen. Het zou daarbij vooral om Amerikaanse bankklanten gaan. Daarnaast worden gestolen FTP-gegevens gebruikt voor het infecteren van websites. Om zich op systemen te verbergen, gebruikt de malware een usermode rootkit.

Sleutel
"Een aantal weken geleden zagen we dat Qakbot bestanden via een legitieme sleutel werden ondertekend. De bedoeling achter het digitaal signeren van de bestanden is om ze legitiem te laten lijken", zegt Patrick Fitzgerald van Symantec.

Hij sprak met de eigenaren van de digitale sleutel, waarop die werd ingetrokken. "Het feit dat Qakbot een gestolen sleutel gebruikt, toont aan dat de auteurs manieren zoeken om hun creatie onder een groter publiek te verspreiden."