TROYANO

W32/QAZ

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: W32.HLLW.Qaz.A, W32/QAZ.worm, Troj/Qaz
Primera de aparición: Julio 2000 
Tamaño: 120 K 
Origen: China 

Se trata de un gusano de red con capacidades Backdoor que se extiende en sistemas de Win32. El gusano en sí es un archivo ejecutable de Win32 de unos 120 k de longitud, escrito en Visual C++.

Cuando un archivo infectado se ejecuta, el gusano se registra a sí mismo en el registro de Windows en la sección auto-star: 

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run startIE = "nombre de archivo qazwsx.hsq" 

donde "nombre de archivo" es el nombre del archivo del gusano (normalmente este es "Notepad.exe", ver más adelante). Como resultado, el gusano será activado cada vez que se arranque Windows. 
El gusano permanece entonces en la memoria del sistema como una aplicación (visible en la lista de la tareas) y ejecuta dos procesos: el proceso de difusión y el proceso backdoor. 
El proceso de difusión extiende la copia del gusano a través de la red local a los drivers que están compartidos para lectura/escritura. El gusano enumera los recursos de la red y busca la cadena "WIN" en sus nombres. Si se encuentra el gusano busca allí NOTEPAD.EXE, lo renombra como NOTE.COM y escribe su copia con el nombre NOTEPAD.EXE.

Como resultado NOTEPAD.EXE original puede encontrarse con el nombre NOTE.COM en la máquina afectado (es usado por el gusano para ejecutar Notepad original cuando el gusano completa sus rutinas), y el código del gusano está presente en el archivo NOTEPAD.EXE de 120.320 bytes. El gusano se activará cuando un usuario ejecute Notepad en la máquina afectada. 
La rutina backdoor es bastante simple. Soporta solamente unos cuantos comandos: Run (para ejecutar el archivo especificado), Upload (para crear un archivo en la máquina afectado) y Quit (para finalizar las rutinas del gusano). Hay simplemente tres comandos, pero es suficiente para instalar cualquier otro troyano/virus (más poderoso) en a la máquina.
El gusano también envía una notificación a su "host" ( el autor del gusano?) en la dirección IP 202.106.185.107. Este mensaje de correo es enviado a alguna dirección en China. El mensaje contiene la dirección IP de la máquina infectada. 

Es posible localizar un equipo infectado dentro de una red verificando si envía/recibe datos en TCP por el puerto 7597. 


Copyright © VIRUSPROT.COM