QAZ

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

 Nowy trojan TROJ_QAZ.A (inaczej QAZ.A, Qaz.Trojan)
Atakuje komputery połączone w sieć, szybko zyskuje na popularności, a jego autor może zdalnie modyfikować jego działania.

Występujący pod nazwą TROJ_QAZ.A program należy do szczególnie niebezpiecznych narzędzi, które umożliwiają włamanie do systemu użytkownika i przejęcie nad nim kontroli. Podstępny wirus ukrywa się pod niepozornym programem notatnika systemu (NOTEPAD). Po jego uruchomieniu modyfikuje rejestr systemu:

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\Run
startIE=%path%\Notepad.exe qazwsx.hsq

gdzie %path% jest ścieżką dostępu do katalogu w którym znajduje się wirus. Przykładowo, gdy wirus uruchomiony jest z katalogu c:\Moje Dokumenty, parametr %path% przyjmuje wartość c:\Moje dokumenty. Po tych zabiegach przy kolejnym uruchomieniu systemu Windows startuje także program wirusa. Nasłuchuje on port TCP 7597 i reaguje wyłącznie na kierowane tam dane. Co więcej, zdalny użytkownik zaatakowanego w ten sposób systemu może wprowadzić doń i uruchomić dowolny program !

TROJ_QAZ przenosi się na komputery, które pracują w sieciach z działającym serwisem NETBIOS SESSION - TCP Port 139. Wirus skanuje współdzielone napędy dyskowe w poszukiwaniu wspólnych zasobów zawierających słowo "WIN". Przyjmuje, że jest to katalog Windows i usiłuje odnaleźć plik NOTEPAD.EXE. Zmienia nazwę oryginalnego pliku na NOTE.EXE, a pod starą umieszcza kod wirusa. Po wywołaniu programu najpierw startuje program wirusa wykonując zaplanowane działania, a dopiero potem rusza właściwy program. Każdy zainfekowany komputer, poprzez  serwer SMTP o adresie IP 202.106.185.107 wysyła  wiadomość z kodem zawierającym adres IP zaatakowanej maszyny. Adres, pod który kierowana jest wiadomość zawiera "nongmin_cn" (domniemany autor wirusa) i odpowiada bezpłatnemu serwisowi pocztowemu, gdzie autor założył konto pocztowe. Adres IP serwera może być modyfikowany tak, aby wskazywać dowolne konto stworzone przez autora w celu otrzymywania wiadomości email pochodzących z zainfekowanych komputerów.

Jak leczyć ?

Należy uruchomić poniższe programy, które blokują aktywność wirusa, usuwają stworzone przez niego pliki, porządkują rejestry oraz przywracają poprawną nazwę notatnikowi (NOTEPAD.EXE).

Plik dla Windows 95/98

Plik dla Windows NT

Zalecamy korzystać ze sprawdzonego oprogramowania Trend Micro oraz najnowszych wzorców wirusów.

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ 

Opracowano na podstawie materiałów Trend Micro
© 2000 Trend Micro Incorporated. All Rights Reserved

 

 

 

               

Copyright  Air Trend 1999-2004