Extra-Blatt

Virus/Wurm: W32/Qaz (W32.HLLW.Qaz, I-Worm.Qaz, Troj/Qaz)

Trojanisches Pferd mit Wurm-Eigenschaften ersetzt Notepad

Qaz ist ein Trojanisches Pferd mit Wurm-Eigenschaften. Qaz verbreitet sich über die Netzwerkumgebung von Windows und das Internet. Dazu müssen Freigaben nicht als Laufwerk gemapped sein. Auf infizierten Systemen wird NOTEPAD.EXE gesucht und wenn gefunden, nach NOTE.COM umbenannt, während Qaz sich selbst als NOTEPAD.EXE installiert. Es sendet die IP-Adresse infizierter Rechner per E-Mail an seinen Autor. Es lauscht am TCP-Port 7597 und ermöglicht den externen Zugriff auf infizierte Rechner. Es handelt sich also um ein so genanntes Backdoor-Programm oder RAT (Remote Administration Tool).

Infos und Updates von Antivirus-Firmen zu W32/Qaz:

Computer Associates (engl.)
Symantec (engl.)
Sophos (engl.)