ESTE SERVIÇO PODE CONTER TRADUÇÕES FEITAS PELO GOOGLE. O GOOGLE SE ISENTA DE TODAS AS GARANTIAS RELACIONADAS ÀS TRADUÇÕES, EXPRESSAS OU IMPLÍCITAS, INCLUINDO QUALQUER RESPONSABILIDADE EM RELAÇÃO À PRECISÃO, CONFIABILIDADE E QUALQUER DEVER IMPLÍCITO SOBRE SUA COMERCIALIZAÇÃO, ADEQUAÇÃO PARA UM FIM ESPECÍFICO E NÃO-VIOLAÇÃO.

Para sua conveniência, o site da Kaspersky Lab foi traduzido com a utilização do software de tradução Google Tradutor. Foram realizados esforços razoáveis para o oferecimento de uma tradução precisa; entretanto, as traduções automatizadas não são perfeitas e tampouco pretendem substituir a tradução qualificada de especialistas. Essas traduções são fornecidas como um serviço para os usuários do site da Kaspersky Lab e são exibidas "como estão". Não há nenhuma garantia de qualquer tipo, seja expressa ou implícita, sobre a precisão, confiabilidade, ou exatidão de quaisquer traduções feitas do inglês para qualquer outro idioma. Alguns conteúdos (como imagens, vídeos, Flash, etc.) podem não estar corretamente traduzidos devido às limitações do programa de tradução.

Worm.Win32.QAZ

Classe Worm
Plataforma Win32
Descrição

Detalhes técnicos

Este é um worm de rede que se espalha sob os sistemas Win32 com capacidades de backdoor . Este worm foi reportado como "em estado selvagem" em julho – agosto de 2000. O próprio worm está em um arquivo executável do Win32 com aproximadamente 120K de comprimento, escrito em MS Visual C ++.

Quando um arquivo infectado é executado, o worm se registra no registro do Windows na seção de início automático:

HRLMSOFTWAREMicrosoftWindowsCurrentVersionRun startIE = "nome do arquivo qazwsx.hsq"

onde "filename" é o nome do arquivo do worm (geralmente – "Notepad.exe", veja abaixo). Como resultado, o worm será ativado toda vez que o Windows for iniciado.

O worm permanece na memória do sistema como um aplicativo (visível na lista de tarefas) e executa dois processos: espalhamento e backdoor.

O processo de disseminação distribui a cópia do worm pela rede local para as unidades compartilhadas para leitura / gravação. O worm enumera os recursos da rede e procura por uma string "WIN" em seus nomes. Se tal string estiver presente no nome (isto é, que é o diretório do Windows no computador remoto), o worm procura por NOTEPAD.EXE lá, renomeia com NOTE.COM e grava sua cópia com o nome NOTEPAD.EXE.

Como resultado, na máquina afetada, o NOTEPAD.EXE original pode ser encontrado com o nome NOTE.COM (ele é usado pelo worm para executar o Bloco de Notas original quando o worm conclui suas rotinas), e o código do worm está presente em o arquivo NOTEPAD.EXE. O worm será ativado no momento em que o usuário executar o Bloco de notas na máquina afetada.

A rotina de backdoor é bem simples. Ele suporta apenas alguns comandos: Run (para executar o arquivo especificado), Upload (para criar um arquivo na máquina afetada) e Quit (finalizar as rotinas do worm). Existem apenas três comandos, mas isso é suficiente para instalar qualquer outro backdoor (mais poderoso) ou qualquer outro Trojan / vírus na máquina.

O worm também envia uma notificação ao seu "host" (autor do worm?). Esta é uma mensagem de e-mail enviada para algum endereço na China. A mensagem contém o (s) endereço (s) IP da máquina infectada.


Link para o original