"Qaz" ist ein Beispiel für einen Wurm, der sich aktiv ausschließlich über Netzwerkfreigaben verbreitet, die aber auch auf Einzelplatzrechner oft - ohne Wissen des Anwenders - vorhanden ist. Er nutzt jede Gelegenheit, sich bei Netzwerkrechnern einzuschleichen. Dazu ersetzt er die Datei Notepad.exe durch eine eigene. Zu erkennen ist eine Infektion an der enormen Größe der Notepad-Datei. Statt 56 Kilobyte bringt es ein infiziertes Notepad auf 120 Kilobyte. Der Wurm (siehe Glossar) wird beim nächsten Aufruf des Notepad aktiv.

Er schickt seinem Programmierer die IP-Adresse des befallenen Rechners und wartet anschließend als Backdoor (siehe Glossar) - ähnlich einem verborgenem Fernwartungsprogramm - auf weitere Aufgaben. Diese erhält er, sobald er von seinem Programmierer "angepingt" (siehe Glossar) wird.

Dies ist vergleichbar mit einem Lockruf. Wird ein infizierter Rechner "angepingt", antwortet das Trojanische Pferd und erhält daraufhin seine Order. Beispielsweise könnte er auf dem befallenen Rechner nach bestimmten Daten oder nach PIN-Codes für Online-Banking Ausschau halten.

Wenn der Qaz-Wurm wiederkommt (PC-WELT Online, 14.09.2000)

Qaz-Wurm tarnt sich als Notepad (PC-WELT Online, 13.09.2000)

PC-WELT Marktplatz

33528