Risque
- Cheval de Troie ;
- Propagation de virus ;
- Accès aux données.
Systèmes affectés
- Microsoft Windows 9x ;
- Microsoft Windows 2000 ;
- Microsoft Windows NT.
Description
Troj/Qaz est un cheval de Troie permettant à un utilisateur mal intentionné de pouvoir avoir accès, à distance, à une machine infectée.
Lors de son exécution ce cheval de Troie recherche le fichier « notepad.exe » et le renomme en « note.exe ». Il duplique son propre code dans un nouveau fichier nommé « notepad.exe ».
Lorsque l'utilisateur exécute « notepad.exe », le cheval de Troie s'exécute et lance également l'application « bloc note ». Il modifie également la base de registre afin de se charger au démarrage de la machine.
Détection et solution provisoire
Rechercher sur le disque la présence des fichiers suivants :
W32.HLLW.Qaz.A ou Qaz.Trojan
Rechercher la présence de « note.exe » et le renommer en « notepad.exe »
Supprimer dans la base de registre à l'emplacement HKEY_LOCAL_MACHINE\Software\Microsoft\
Current\Version\Run
la clé : StartIE=notepad.exe
Solution
Mettre à jour votre anti-virus
Documentation
Site Sophos :
http://www.sophos.com/virusinfo/analyses/trojqaz.html
Site Symantec :
http://www.symantec.com/avcenter/venc/data/qaz.trojan.html