ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.QAZ

Clase Worm
Plataforma Win32
Descripción

Detalles técnicos

Este es un gusano de red que se propaga bajo los sistemas Win32 con capacidades de puerta trasera . Este gusano fue reportado "en estado salvaje" en julio – agosto de 2000. El gusano se encuentra en un archivo ejecutable Win32 de aproximadamente 120K de longitud, escrito en MS Visual C ++.

Cuando se ejecuta un archivo infectado, el gusano se registra en el registro de Windows en la sección de inicio automático:

HRLMSOFTWAREMicrosoftWindowsCurrentVersionRun startIE = "filename qazwsx.hsq"

donde "nombre de archivo" es el nombre del archivo del gusano (por lo general, "Notepad.exe", ver a continuación). Como resultado, el gusano se activará cada vez que Windows se inicie.

El gusano se queda en la memoria del sistema como una aplicación (visible en la lista de tareas) y ejecuta dos procesos: difusión y puerta trasera.

El proceso de propagación propaga la copia del gusano a través de la red local a unidades que se comparten para leer / escribir. El gusano enumera los recursos de la red y busca una cadena "WIN" en sus nombres. Si dicha cadena está presente en el nombre (es decir, ese es el directorio de Windows en la computadora remota), el gusano busca allí el NOTEPAD.EXE, lo renombra con NOTE.COM y escribe su copia con el nombre NOTEPAD.EXE.

Como resultado, en la máquina afectada, se puede encontrar el NOTEPAD.EXE original con el nombre NOTE.COM (es utilizado por el gusano para ejecutar el Bloc de notas original cuando el gusano completa sus rutinas), y el código del gusano está presente en el archivo NOTEPAD.EXE. El gusano se activará en el momento en que el usuario ejecute el Bloc de notas en la máquina afectada.

La rutina de puerta trasera es bastante simple. Es compatible con solo unos pocos comandos: Ejecutar (para ejecutar el archivo especificado), Cargar (para crear un archivo en la máquina afectada) y Salir (finalizar las rutinas del gusano). Solo hay tres comandos, pero eso es suficiente para instalar cualquier otra puerta trasera (más potente) o cualquier otro troyano / virus en la máquina.

El gusano también envía una notificación a su "host" (¿autor del gusano?). Este es un mensaje de correo electrónico enviado a alguna dirección en China. El mensaje contiene la (s) dirección (es) IP de la máquina infectada.


Enlace al original