686676

Qaz-Wurm

Bezeichnung

W32/QAZ.worm

Typ

Wurm

Erstes Auftreten

August 2000

Verbreitung

selten

Wirkung/Schaden

Das Programm nimmt auf einem befallenen Rechner den Namen Notepad.exe an und gibt dem ursprünglichen Notepad den Namen Note.com. Zudem ändert er die Windows Registry-Datei, durch den EintragHKLM\Software\Microsoft\Windows\CurrentVersion\Run as value StartIE=notepad.exeHierdurch wird das falsche Notepad bei jedem Neustart aktiviert. Abschließend mailt der Qaz-Wurm seinem Programmierer die IP-Adresse des befallenen Rechners und wartet dann als Trojanisches Pferd an Port 7597 auf Befehle.

Infektionsweg

Qaz durchsucht bei befallenen Rechnern das Netzwerk nach Computern, die er infizieren kann. Er tut dies, indem er auch dort Notepad.exe ersetzt und das ursprüngliche Notepad als Note.com abspeichert. Der Wurm verbreitet sich nicht von selber außerhalb geschlossener Netzwerke.

Besonderheiten

Der Wurm hat eine Größe von knapp 120.320 Bytes. Das echte Notepad ist nur 56 K groß, so dass ein befallener Computer leicht an der ungewöhnlichen Größe von Notepad.exe zu erkennen ist.

Was Sie tun können

1)Löschen sie alle Dataien mit der Bezeichnung W32.HLLW.Qaz.A oder az.Trojan.2)Suchen Sie nach Note.com und ersetzen Sie damit notepad.exe.3)Entfernen Sie aus der Registry den EintragHKLM\Software\Microsoft\Windows\CurrentVersion\Run as value StartIE=notepad.exe4)Sollte Ihr Computer an ein Netzwerk angeschlossen sein, dann überprüfen Sie die angeschlossenen Rechner auf eine Infektion mit Qaz. Führen Sie dort gegebenenfalls die gleichen Arbeitsschritte aus

Weitere Infos

Sophos

0 Kommentare zu diesem Artikel
686676