H+BEDV Datentechnik GmbH

Homepage
Produkte

News

Virenkunde
Downloads
Support
Kontakt
 
English

Copyright 1998-2000
webmaster@antivir.de
Virenbeschreibung

av_shad.gif (1951 Byte)
 

Der Wurm 'W32.TR.Worm/QAZ'

Der Wurm 'QAZ' ist eine ausführbare .EXE-Datei und breitet sich auf allen Windows 32-bit Systemen aus. Er wurde in der Programmiersprache C unter Visual C++ programmiert. Seine Länge beträgt 120320 Bytes. Er wurde das erste mal im Juli/August 2000 gemeldet.
Wird der Wurm aktiviert, trägt er sich so in die Registry ein, damit er bei jedem Systemstart erneut ausgeführt wird:

[HKLM\SOFTWARE\Microsoft\Windows\Current Version\Run]
startIE = "notepad.exe qazwsx.hsq"

Wurde der Wurm auf diese Weise gestartet, werden zwei Funktionen dieses Wurmes ausgeführt: eine Backdoor-Funktion sowie ein Programm zur sicheren Verbreitung seines Codes.
'QAZ' breitet sich auf allen erreichbaren Netzlaufwerken aus, indem er auf allen Laufwerken die Datei NOTEPAD.EXE sucht und diese dann, entsprechende Schreibrechte vorausgesetzt, in NOTE.COM umbenennt. Anschließend schreibt er seinen eigene Programmcode in eine Datei unter dem Namen NOTEPAD.EXE.

Wird nun das vom Virus erzeugte Programm NOTEPAD.EXE vom Benutzer gestartet, verbreitet sich der Wurm auf diesem System. Damit der Benutzer von der Infektion nichts merkt, wird danach das eigentliche NOTEPAD, nämlich die Datei NOTE.COM, gestartet.

Die Backdoor-Routine ist mit wenigen Kommandos ganz einfach gehalten: RUN (Starten eines Programmes), UPLOAD (zum Erstellen einer Datei auf dem infizierten System) und QUIT (zum Beenden der Wurm-Routine). Diese drei Kommandos reichen allerdings aus, um ein anderes, gefährlicheres Backdoor-Programm, einen Wurm oder einen Virus auf einem System zu installieren.

'QAZ' versucht sich nach der Infektion des Rechners in das Internet einzuwählen. Er versucht, eine Verbindung zu einer Website in China (http://202.106.185.107) aufbauen, um wahrscheinlich dorthin die IP–Adresse des infizierten Rechners zu übermitteln. Dies kann nicht mehr nachvollzogen werden, da diese IP–Adresse gesperrt wurde. Da diese Seite nicht mehr erreichbar ist, startet der Trojaner alle 4 bis 6 Minuten erneut einen neuen Versuch, diese Seite zu kontaktieren. Hierdurch hält der Wurm bestehende Internetverbindungen offen bzw. öffnet diese erneut.

Um den 'QAZ' von einem infizierten System zu entfernen, sollten als erstes die infizierten Rechnersystem von Netzwerkverbindungen getrennt und Modemverbindungen beendet werden. Danach sollte der oben genannten Registryeintrag in der Autostart-Routine entfernt und die Datei NOTEPAD.EXE gelöscht werden. Zuletzt bracuht nur nich Datei NOTE.COM wieder in NOTEPAD.EXE umbenannt werden.

 

  weitere Virenbeschreibungen
  Virenkunde