Hi
ließ bitte folgende News:
Der Qaz-Wurm, vormals als Qaz.Trojan bekannt, ist in Umlauf. Seine exakte Bezeichnung ist W32.HLLW.Qaz.A. Das Programm nimmt auf einem befallenen Rechner den Namen Notepad.exe an und gibt dem ursprünglichen Notepad den Namen Note.com. Zudem ändert er die Windows Registry-Datei, durch den Eintrag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value StartIE=notepad.exe
Hierdurch wird das falsche Notepad bei jedem Neustart aktiviert. Abschließend mailt der Qaz-Wurm seinem Programmierer die IP-Adresse des befallenen Rechners und wartet dann als Trojanisches Pferd an Port 7597 auf Befehle.
Der Wurm hat eine Größe von knapp 120.320 Bytes. Das echte Notepad ist nur 56 K groß, so dass ein befallener Computer leicht an der ungewöhnlichen Größe von Notepad.exe zu erkennen ist.
Qaz durchsucht bei befallenen Rechnern das Netzwerk nach Computern, die er infizieren kann. Er tut dies, indem er auch dort Notepad.exe ersetzt und das ursprüngliche Notepad als Note.com abspeichert. Der Wurm verbreitet sich nicht von selber außerhalb geschlossener Netzwerke.
Um den Wurm zu entfernen, reichen einige leichte Handgriffe:
1)
Löschen sie alle Dateien mit der Bezeichnung W32.HLLW.Qaz.A oder az.Trojan.
2)
Suchen Sie nach Note.com und ersetzen Sie damit notepad.exe.
3)
Entfernen Sie aus der Registry den Eintrag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value StartIE=notepad.exe
4)
Sollte Ihr Computer an ein Netzwerk angeschlossen sein, dann überprüfen Sie die angeschlossenen Rechner auf eine Infektion mit Qaz. Führen Sie dort gegebenenfalls die gleichen Arbeitsschritte aus. (PC-WELT, 13.09.2000, meh)
Cu Matze