Worm.Qaz

Jest to robak rozprzestrzeniaj膮cy si臋 poprzez sie膰 w systemach Win32, posiada w艂a艣ciwo艣ci charakterystyczne dla backdoor贸w. Zosta艂 odkryty na wolno艣ci na prze艂omie lipca i sierpnia 2000. Wirus jest wykonywalnym plikiem Win32 napisanym w MS Visual C++, o d艂ugo艣ci oko艂o 120 KB.

Gdy zainfekowany plik zostanie uruchomiony, robak umieszcza si臋 w sekcji auto-start rejestru Windows:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
startIE = "nazwapliku qazwsx.hsq"

gdzie "nazwapliku" jest nazw膮 pliku robaka (zazwyczaj - Notepad.exe, zobacz poni偶ej). W rezultacie robak b臋dzie uruchamia艂 si臋 wraz z ka偶dym startem systemu.

Nast臋pnie szkodnik pozostaje rezydentny jako aplikacja w pami臋ci systemowej (jest widoczny na li艣cie zada艅) i uruchamia dwa procesy: rozprzestrzeniaj膮cy oraz procedur臋 backdoor.

Proces rozprzestrzeniaj膮cy powiela wirusa w sieci lokalnej, umieszczaj膮c go na dyskach udost臋pnionych w trybie do odczytu i zapisu. Robak okre艣la zasoby sieciowe i szuka w ich nazwach ci膮gu "WIN". Je艣li taki tekst zostanie znaleziony (czyli prawdopodobnie na zdalnym komputerze zainstalowany jest system Windows), bakcyl szuka pliku NOTEPAD.EXE, zmienia jego nazw臋 na NOTE.COM i zapisuje swoja kopi臋 z nazw膮 NOTEPAD.EXE.

W rezultacie, oryginalny NOTEPAD.EXE ma nazw臋 NOTE.COM (plik ten jest wykorzystywany przez wirusa do uruchomienia oryginalnego Notatnika), natomiast kod robaka zawarty jest w pliku NOTEPAD.EXE. Bakcyl aktywuje si臋 w momencie uruchomienia Notatnika na zainfekowanym komputerze.

Procedura backdoor jest ca艂kiem prosta. Obs艂uguje tylko kilka komend: Run (uruchamia okre艣lony plik), Upload (tworzy plik na zaatakowanej maszynie) oraz Quit (ko艅czy dzia艂anie procedur robaka). S膮 to tylko trzy komendy, jednak w zupe艂no艣ci wystarczaj膮 do zainstalowania na zdalnym komputerze jakiegokolwiek innego, pot臋偶niejszego backdoor'a lub konia troja艅skiego.

Robak wysy艂a informacj臋 do swojego "hosta". Jest to wiadomo艣膰 e-mail, wysy艂ana pod chi艅ski adres. Korespondencja zawiera adres IP zainfekowanego komputera.