Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: W32/Qaz.worm (Notepad)
 
Martes 15 de agosto de 2000.

Nombre: W32/Qaz.worm
Alias: Notepad, Qaz , Qaz.trojan 
Tipo: Gusano y Caballo de Troya de Acceso Remoto
Tamaño: 120,320 bytes
Origen: Internet, Agosto/2000 
Destructivo: Depende del autor del gusano quien controla la PC 

Descripción:

Se trata de un ejecutable Win32, escrito en Visual C++, originalmente de 120,320 bytes de largo.

W32/Qaz.worm, en principio es un gusano que se propaga a través de redes locales, y que posee además características de RAT (Troyano de acceso remoto) lo que permite al autor del gusano controlar la PC infectada en forma remota.

Cuando se ejecuta por primera vez, busca el archivo correspondiente al bloc de notas de Windows (NOTEPAD.EXE) y lo renombra como NOTE.COM, y luego se copia a si mismo como NOTEPAD.EXE.

De este modo, cada vez que el usuario ejecute el bloc de notas, primero se ejecuta el troyano, y luego de esto, el mismo se encarga de llamar al verdadero NOTEPAD (renombrado ahora como NOTE.COM). De este modo, el usuario de una computadora infectada, no sospechará su presencia.

Una vez ejecutado por primera vez, el virus modifica el registro para ejecutarse en cada Inicio del sistema con la siguiente entrada:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
StartIE=C:\WINDOWS\notepad.exe qazwsx.hsq

Es capaz de propagarse a través de las unidades compartidas en una red local a la que se conecte la máquina infectada, intentando localizar las carpetas llamadas "Windows", (busca la cadena "WIN"), y modifica el archivo NOTEPAD.EXE como lo hizo con la PC original, copiándose a si mismo como "NOTEPAD.EXE" y renombrando los originales como "NOTE.COM".

Una vez instalado y registrado en el sistema, W32/Qaz.worm envía un e-mail a su autor con el IP de la PC del usuario (a direcciones de correo ubicadas en China). Con el IP el autor del gusano puede acceder a la PC infectada y controlarla, en forma similar al BackOrifice, Netbus, etc., utilizando para ello el puerto TCP 7597.

Los comandos soportados como backdoor permiten la ejecución de programas, la posibilidad de enviar archivos al sistema infectado, y la desactivación del propio virus. Aunque muy básicos, estos comandos dejan abierta la posibilidad de instalar y activar programas más sofisticados para el control remoto de las computadoras infectadas, así como la ejecución de virus más peligrosos.

Podemos comprobar si estamos infectados, comparando el tamaño del verdadero NOTEPAD.EXE (posee unos 56K y se encuentra en C:\WINDOWS), mientras que el QAZ (el NOTEPAD infectado) posee unos 120k. Además existirá un archivo llamado NOTE.COM (el verdadero NOTEPAD renombrado).

Nota: le recomendamos estos pasos para habilitar la opción para poder ver las extensiones verdaderas de los archivos.

Para eliminar el gusano, es suficiente con buscar el archivo original con el que fuimos infectados, que podremos haber recibido vía correo electrónico, descargado de algún sitio, etc., y borrarlos. En el caso de que la infección sea a través de una red local es probable que NOTEPAD.EXE sea también el archivo origen de la infección. A continuación renombraremos el archivo NOTE.COM como NOTEPAD.EXE, y por último eliminamos la entrada que incluía en el registro de Windows con la utilidad REGEDIT.EXE. En el caso de que el equipo infectado se encuentre en una red local, aconsejamos examinar el resto de máquinas conectadas a la misma.

W32/Qaz.worm no se envía a si mismo vía correo electrónico en forma automática. Este hecho (no dispone de otro método de propagación a través de Internet), limita su funcionamiento como gusano. Y cómo virus, podría catalogarse como "virus de compañía" (tipo de virus que "acompaña" al archivo verdadero, y se ejecuta antes que éste, pasándole luego el control, sin modificarlo de ninguna otra forma, salvo su nombre en este caso). De este modo, al no poder infectar a otros archivos, su propagación y su peligro, se reduce enormemente.

Fuentes:

Hispasec
http://www.hispasec.com/unaaldia.asp?id=655

AVP
http://www.avp.ch/avpve/worms/net/qaz.stm 

NAI
http://vil.nai.com/villib/dispvirus.asp?virus_k=98775 

Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=752 

Symantec
http://www.sarc.com/avcenter/venc/data/qaz.trojan.html 

Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_QAZ.A

 

 

Copyright 1996-2000 Video Soft BBS