Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

Trojan.Qaz.110549


alias: QAZ.Trojan, TROJ_QAZ.A, Trojan/Notepad, W32.HLLW.Qaz.A
Typ: Mischung aus Virus und Wurm
Größe: 120,320 bytes

W32.Qaz.110549 ist eine Kombination aus Wurm und Trojaner, mit der sich die Autoren des Virus die Fähigkeiten
des Wurms (sich zu verbreiten) zu nutze machen um ihren Trojaner auf eine Vielzahl von Zielen zu
transportieren. Das Virus selbst richtet dabei überhaupt keinen Schaden an; beunruhigend ist einzig und allein,
daß ein erfolgreich installiertes Virus dem Angreifer ein rundum funktionierendes Backdoorprogramm bietet und
somit einer Attacke von außen Tür und Tor geöffnet wird. Solch eine Dimension, wie bei anderen Würmern, wird
der W32/QAZ jedoch nicht annehmen, da er nicht in der Lage ist, sich wie Loveletter und Co. via eMail zu
versenden. Das Virus ist zudem nicht speicherresistent, was bedeutet, daß es nur aktiv werden kann, wenn es
von einem Anwender oder einem Systemsprozess gestartet wird. Im Regelfall tarnt sich das Virus als NOTEPAD.EXE,
die im Gegensatz zum Original (52kb) jedoch eine Größe von 120,320 bytes aufweisst. Neben der Existenz der
Datei NOTE.COM im Windows-Verzeichnis und möglichem Datentransfer auf dem Port 7597, ist dies der auf den
ersten Blick einzige Grund, das Virus zu entdecken. Wird das Virus gestartet, wird nach bewährter Manier die Registry modifiziert:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ StartIE=C:\WINDOWS\notepad.exe qazwsx.hsq

um Sicherzustellen, daß beim Reboot der Maschine auch verlässlich der Trojaner aktiviert wird. Dieser ersetzt
die original Notepad.exe durch den o.g. Trojaner. Über den TCP Port 7597 erhält das Backdoor Programm dann Aufträge
vom eigentlichen Angreifer. Jedesmal wenn die Notepad vom Anwender gestartet wird, aktiviert das Virus auch die
Note.Com Datei im Windows-Verzeichnis, die dann wiederum versucht über Netzwerkverbindungen den Virencode als
Trojaner "NOTEPAD.EXE" auf alle erreichbaren und freigegebenen Festplatten wiederum ins jeweilige Windows-Verzeichnis
zu kopieren. Bekannt ist der Wurm seit Juli 2000 und seit diesem Zeitraum stellen alle namhaften
Antivirensoftwarefirmen Updates zur Verfügung. Der Wurm befällt sowohl Win.9x als auch WinNT basierende PC´s.
Ein Security Patch von Microsoft: http://www.microsoft.com/technet/security/bulletin/MS00-043.asp
erschwert dem Virus das Vorgehen ungemein.








Linktipps: Kreuzfahrten Blog