publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus QAZ

Virus QAZ

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy alta Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

QAZ realiza las siguientes acciones:

  • Se activa cada vez que se ejecute el Bloc de notas de Windows.
  • Envía por correo electrónico la dirección IP del ordenador afectado (éste el el número que identifica al ordenador y permite los intentos de acceso a él).
  • Abre puertos de comunicaciones en los equipos afectados, permitiendo de este modo que los usuarios malintencionados puedan acceder al ordenador de forma remota, siempre y cuando conozcan su dirección IP.
  • Permite a un usuario atacante introducir y ejecutar programas en el ordenador afectado.

Metodo de infección:

Para realizar sus infecciones, QAZ sigue el proceso detallado a continuación:

  • Una vez en el equipo afectado, busca el fichero NOTEPAD.EXE (Bloc de notas de Windows) y sustituye su nombre por el siguiente: NOTE.COM.
  • Se copia a sí mismo en el directorio de Windows con el siguiente nombre NOTEPAD.EXE. De este modo, cuando el usuario ejecute el Bloc de notas de Windows, se activa el gusano, y acto seguido se abre el fichero NOTE.COM (el Bloc de notas original). De este modo, QAZ consigue que los usuarios no sospechen de sus acciones.

QAZ realiza esta acción en todas las unidades de red accesibles (no es necesario que estén mapeadas), con lo que consigue afectar a otros equipos de la red.

QAZ crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentVersion\ Run
    startIE "NOTEPAD.EXE qazwsx.hsq

    Con esta modificación, QAZ consigue ejecutarse cada vez que se arranque el ordenador afectado.

A continuación, realiza las siguientes acciones:

  • En primer lugar, abre el puerto 7597.
  • A continuación, escanea todos los puertos a partir de un número de puerto aleatorio, y procede a abrir todos ellos.
  • A partir de ese momento, el ordenador afectado quedará expuesto a ataques por parte de otros usuarios, siempre y cuando éstos conozcan la dirección IP del ordenador afectado.
  • Envía un mensaje de correo con la dirección IP del ordenador afectado, a una dirección que contiene la cadena de texto nongmin_cn. Esta cuenta de correo corresponde presumiblemente al autor del troyano.

    Por defecto, este mensaje se envía a través de SMTP a la dirección IP de un proveedor de servicios gratuitos de correo electrónico, en el que el autor del troyano tiene una cuenta de correo.

    Esta dirección es la siguiente: 202.106.185.107. Sin embargo, esto es configurable, ya que es posible indicar la dirección IP de cualquier otro servidor de correo.

    Asimismo, también es posible cambiar el nombre de la cuenta de correo a la que se enviará la dirección IP. De este modo, ésta se podrá enviar también a otros usuarios; no sólo al autor del troyano.

Metodo de propagación:

QAZ se propaga a través de redes locales. Para ello escanea unidades de disco compartidas y comprueba si existe algún recurso compartido que contenga la cadena Win.

Si esto es así, QAZ asume que se trata del directorio de Windows. Entonces busca el fichero NOTEPAD.EXE y realiza las acciones detalladas anteriormente.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork