Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: 病毒信息－－－ W32.HLLW.Qaz.A
发信站: 哈工大紫丁香 (2001年05月28日15:01:08 星期一), 站内信件

病毒名称：W32.HLLW.Qaz.A
别名： W32.HLLW.Qaz.A
　　Qaz.Trojan, Qaz.Worm, Worm.Qaz, QAZ.A, TROJ_QAZ.A, W32/QAZ.worm
危险等级：低
发作时间：随时
长度：　　120320, 119296, 120297, 122880字节
感染症状：注册表启动项增加StartIE，notepad.exe被改名，并被蠕虫体替换
发作症状：向外发送电子邮件，能在局域网上传播，被远程操纵者操纵
病毒类型：蠕虫，木马
操作平台：Windows 32位操作系统
感染对象：无
病毒介绍：
　　W32.HLLW.Qaz.A是一个国产的蠕虫，并带有木马的功能，能在Windows操作系统下通
过局域网传播，长度大约为120K，用MS Visual C++编写。
　　当蠕虫首次运行时，首先修改注册表启动项：
　　HRLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　startIE = "filename qazwsx.hsq"
　　filename代表蠕虫被执行时的当前路径及文件名，通常是notepad.exe，这样蠕虫就
可以在系统每次启动的时候都运行，庆幸的是可以在任务列表中看到它的踪影。
　　该蠕虫在局域网上传播是通过周期性查找局域网上设置了共享并可读写的电脑，通
过列举网络资源查找win字符串，如果找到如Windows目录，便查找NOTEPAD.EXE，并将N
OTEPAD.EXE改名为NOTE.COM（并非KILL提供的资料里所说的NOTEPAD.COM），而蠕虫体自
身就变为NOTEPAD.EXE，然后修改注册表启动项（如上）。
　　蠕虫修改Notepad.exe（注意正常的Notepad.exe和蠕虫体Notepad.exe大小的不同）
具有了很大的欺骗性，另外当使用者要使用写字板的时候可以调用Note.com，像正常那
样使用。
　　而该蠕虫的木马功能非常简单，只是运行某些特定文件、上传文件、退出蠕虫程序
，虽然比较简单，但足以上传更强大的木马或病毒了。运行时会打开7597端口。
　　另外该蠕虫还会通过yeah的电子邮件服务器向远程操纵者（可能是蠕虫的制作者）
发送带有被感染电脑的IP地址资料。
备注：　　一、借助反病毒软件找出蠕虫体，并删除。
　　二、查找note.com，并将其改回为Notepad.exe。
　　三、删除注册表启动项中该蠕虫的启动注册资料。

　　四、关掉计算机，按上述的方法清除局域网上其它的电脑上的蠕虫。

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]