Se esconde en los sistemas Windows cómo si de la aplicación Bloc de Notas se tratara, abre una puerta trasera en los equipos infectados para permitir el control remoto, y se propaga por las unidades compartidas de las redes locales. Este polifacético espécimen, que ha provocado tantas nomenclaturas diferentes entre las casas antivirus como funcionalidades posee, ha sido reportado «in-the-wild», si bien no se prevé consiga mayor difusión al no tener autonomía para propagarse más allá de las redes locales.
«Qaz» es un ejecutable Win32, escrito en Visual C++. Cuando se ejecuta, busca una copia del fichero NOTEPAD.EXE (Bloc de Notas de la carpeta Windows) y lo renombra como NOTE.COM, a continuación «Qaz» se copia con el nombre de NOTEPAD.EXE. +sto provoca que, cada vez que se intente lanzar el Bloc de Notas en un sistema infectado, primero se ejecuta el troyano, y éste a su vez llama a NOTE.COM, por lo que el usuario no percibe a primera vista ninguna irregularidad.
El troyano es capaz de propagarse a trav’s de las unidades compartidas de las redes locales, donde intenta localizar la carpeta de Windows, buscando la cadena «WIN», y realiza con NOTEPAD.EXE la misma operaci¢n ya descrita. El hecho de que no disponga de otro m’todo de propagaci¢n a trav’s de Internet, c¢mo por ejemplo autoenviarse a trav’s de correo electr¢nico, limita el mbito de actuaci¢n de este esp’cimen como gusano. As¡ mismo, en el terreno de los virus, tan s¢lo podr¡a catalogarse como «virus de compa_¡a», ya que tampoco puede infectar a otros ficheros, por lo que aun merma m s su capacidad de expansi¢n.
Por oltimo, destaca en «Qaz» su funcionalidad como backdoor, env¡a la direcci¢n IP de los ordenadores infectados a su autor v¡a correo electr¢nico (a buzones localizados en China), y abre una puerta trasera en el puerto TCP 7597, por el cual el autor del virus puede acceder de forma remota al sistema de sus v¡ctimas.
Los comandos soportados como backdoor comprenden la ejecuci¢n de programas, la posibilidad de enviar ficheros al sistema infectado, y la desactivaci¢n de «Qaz». Aunque muy b sicos, estos comandos permiten el poder instalar herramientas m s sofisticadas para controlar de forma remota los sistemas, o introducir nuevos virus.
Una forma f cil de comprobar si estamos infectados es comparar el tama_o del NOTEPAD.EXE de nuestro sistema, cuyo original ronda los 50kb (estaremos fuera de peligro, al menos de «Qaz»), mientras que el troyano se sitoa entorno a los 120kb (infectados).
Para eliminar «Qaz» basta con localizar el fichero original con el que fuimos infectados, que podremos haber recibido v¡a correo electr¢nico, descargado de una web, u otra v¡a, as¡ como el NOTEPAD.EXE, y borrar ambos. En el caso de que la infecci¢n sea a trav’s de red local es probable que NOTEPAD.EXE sea tambi’n el fichero origen de la infecci¢n. A continuaci¢n renombraremos el fichero NOTE.COM a NOTEPAD.EXE, y por oltimo eliminamos la entrada que inclu¡a en el registro de Windows con la utilidad REGEDIT.EXE. En el caso de que el equipo infectado se encuentre en una red local, aconsejamos examinar el resto de m quinas conectadas a la misma.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=655
M s informaci¢n:
AVP
http://www.avp.ch/avpve/worms/net/qaz.stm
NAi
http://vil.nai.com/villib/dispvirus.asp?virus_k=98775
Panda Software
http://www.pandasoftware.es/vernoticia.asp?noticia=752
Symantec
http://www.sarc.com/avcenter/venc/data/qaz.trojan.html
Trend Micro
http://www.antivirus.com/pc-cillin/vinfo/virusencyclo/default5.asp?VName=TROJ_QAZ.A
Bernardo Quintero
bernardo@hispasec.com
