DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Worm.Win32.QAZ

Kategorie Worm
Plattform Win32
Beschreibung

Technische Details

Dies ist ein Netzwerkwurm, der sich unter den Win32-Systemen mit Backdoor- Fähigkeiten verbreitet. Dieser Wurm wurde im Juli – August 2000 "in freier Wildbahn" gemeldet. Der Wurm selbst befindet sich in einer ausführbaren Win32-Datei von etwa 120 KB Länge, geschrieben in MS Visual C ++.

Wenn eine infizierte Datei ausgeführt wird, registriert sich der Wurm in der Windows-Registrierung im Abschnitt Autostart:

HRLMSOFTWAREMicrosoftWindowsCurrentVersionRun startIE = "Dateiname qazwsx.hsq"

Dabei steht "Dateiname" für den Namen der Wurmdatei (normalerweise "Notepad.exe", siehe unten). Daher wird der Wurm bei jedem Start von Windows aktiviert.

Der Wurm bleibt dann als Anwendung (sichtbar in der Aufgabenliste) im Systemspeicher und führt zwei Prozesse aus: Spreizung und Backdoor.

Der Verbreitungsprozess verteilt die Wurmkopie über das lokale Netzwerk auf Laufwerke, die zum Lesen / Schreiben freigegeben sind. Der Wurm zählt die Netzwerkressourcen auf und sucht in seinen Namen nach einer Zeichenfolge "WIN". Wenn eine solche Zeichenfolge im Namen vorhanden ist (dh das Windows-Verzeichnis auf dem Remotecomputer), sucht der Wurm dort nach NOTEPAD.EXE, benennt ihn mit NOTE.COM um und schreibt seine Kopie mit dem Namen NOTEPAD.EXE.

Daher kann das ursprüngliche NOTEPAD.EXE auf dem betroffenen Computer mit dem NOTE.COM-Namen gefunden werden (es wird von dem Wurm verwandt, um den ursprünglichen Editor auszuführen, wenn der Wurm seine Routinen ausführt), und der Code des Wurms ist in vorhanden die Datei NOTEPAD.EXE. Der Wurm wird in dem Moment aktiviert, in dem ein Benutzer Notepad auf dem betroffenen Computer ausführt.

Die Hintertür-Routine ist ziemlich einfach. Es unterstützt nur ein paar Befehle: Ausführen (um die angegebene Datei auszuführen), Hochladen (um eine Datei auf dem betroffenen Computer zu erstellen) und Beenden (Beenden der Wurmroutinen). Es gibt nur drei Befehle, aber das reicht aus, um eine andere (leistungsfähigere) Backdoor oder einen anderen Trojaner / Virus auf dem Rechner zu installieren.

Der Wurm sendet auch eine Benachrichtigung an seinen "Host" (Wurmautor?). Dies ist eine E-Mail-Nachricht, die an eine Adresse in China gesendet wird. Die Nachricht enthält die IP-Adresse (n) des infizierten Computers.


Link zum Original