{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Microsoft Windows NT.","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 2000 ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}},{"description":"Microsoft Windows 9x ;","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":null,"content":"## Description\n\nTroj/Qaz est un cheval de Troie permettant \u00e0 un utilisateur mal\nintentionn\u00e9 de pouvoir avoir acc\u00e8s, \u00e0 distance, \u00e0 une machine infect\u00e9e.\n\nLors de son ex\u00e9cution ce cheval de Troie recherche le fichier \u00ab\nnotepad.exe \u00bb et le renomme en \u00ab note.exe \u00bb. Il duplique son propre code\ndans un nouveau fichier nomm\u00e9 \u00ab notepad.exe \u00bb.\n\nLorsque l'utilisateur ex\u00e9cute \u00ab notepad.exe \u00bb, le cheval de Troie\ns'ex\u00e9cute et lance \u00e9galement l'application \u00ab bloc note \u00bb. Il modifie\n\u00e9galement la base de registre afin de se charger au d\u00e9marrage de la\nmachine.\n\n## D\u00e9tection et solution provisoire\n\nRechercher sur le disque la pr\u00e9sence des fichiers suivants :\n\nW32.HLLW.Qaz.A ou Qaz.Trojan  \n  \n\nRechercher la pr\u00e9sence de \u00ab note.exe \u00bb et le renommer en \u00ab notepad.exe\n\u00bb  \n  \n\nSupprimer dans la base de registre \u00e0 l'emplacement\n`HKEY_LOCAL_MACHINE\\Software\\Microsoft\\``Current\\Version\\Run` la cl\u00e9 :\nStartIE=notepad.exe\n\n## Solution\n\nMettre \u00e0 jour votre anti-virus\n","cves":[],"links":[],"reference":"CERTA-2000-AVI-036","revisions":[{"description":"version initiale.","revision_date":"2000-08-29T00:00:00.000000"}],"risks":[{"description":"Acc\u00e8s aux donn\u00e9es"},{"description":"Propagation de virus"},{"description":"Cheval de troie"}],"summary":null,"title":"Cheval de Troie : Troj/qaz","vendor_advisories":[{"published_at":null,"title":"Sophos","url":"http://www.sophos.com/virusinfo/analyses/trojqaz.html"},{"published_at":null,"title":"Symantec","url":null}]}