Virus QAZ

Efectos:

QAZ convierte en ordenador en vulnerable ante posibles ataques desde el exterior, puesto que:

• Abre numerosos puertos de comunicaciones.
• Envía por correo electrónico la dirección IP del ordenador.

Metodo de infección:

QAZ sigue el siguiente proceso de infección:

• Busca el fichero NOTEPAD.EXE  y le cambia el nombre por NOTE.COM.
• Se copia a sí mismo en el directorio Windows  con el nombre NOTEPAD.EXE.
• Abre el puerto de comunicaciones 7597.
• Escanea todos los puertos a partir de un número de puerto aleatorio.
• Se coloca como residente en memoria y comienza a abrir todos esos puertos.
• Crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

NOTEPAD.EXE qazwsx.hsq

Con ello consigue ejecutarse cada vez que se inicie el sistema.

Metodo de propagación:

Una vez infectado el ordenador, busca otras unidades de red accesibles. Infecta todas esas unidades de red.

Además, QAZ utiliza el fichero NOTEPAD.EXE para propagarse. Este fichero puede llegar al ordenador por cualquiera de los métodos de propagación normalmente utilizados por los virus: disquetes, CD-ROM, mensajes de correo electrónico con ficheros adjuntos infectados, descargas de Internet, transferencia de ficheros a través del FTP, etc.

Otros detalles:

QAZ envía la dirección IP del equipo afectado por correo electrónico. Para hacerlo, QAZ no utiliza la MAPI (API de Windows para el envío de correo), sino que la envía directamente a través del protocolo SMTP. En este caso en concreto, la envía a la dirección IP 202.106.185.107, con el siguiente remitente: nongmin_cn. Existe la posibilidad de que esto sea configurable.