W32.HLLW.Qaz.A

E' il famigerato worm da cui Microsoft è stata attaccata.

E' stato compilato con Visual C++ ed è lungo 120KB.

Il worm, quando viene eseguito, scrive la seguente chiave nel registro di configurazione con lo scopo di essere eseguito all'avvio della macchina:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run startIE = "nomefile qazwsx.hsq"

"nomefile" rappresenta il nome del worm (di norma, NOTEPAD.EXE). Esso rimane residente nella memoria del sistema come applicazione, visibile nella lista dei task, ed esegue due processi: quello di infezione e quello di backdoor.

Il virus ha lo scopo di diffondersi tramite reti locali.

Esso cerca il file notepad.exe e lo rinomina in note.com, e dunque scrive una copia di se stesso usando il nome notepad.exe.

Se il processo di infezione ha successo, il vero programma "Notepad" si trova nel file NOTE.COM e viene usato dal worm per eseguire l'applicazione originale quando l'utente tenta di lanciarla, mentre il codice del worm si trova nel file NOTEPAD.EXE.

Il worm installa in remoto alcune backdoor o cavalli troia più potenti e poi li esegue.

Il worm inoltre invia una sorta di notifica a un indirizzo e-mail, presumibilmente a un mail server in Cina, segnalando la propria presenza all'interno del computer infettato. Il messaggio spedito contiene l'indirizzo IP della macchina infetta.

Rimozione manuale

Per disinfettare un computer colpito da questo worm, in primo luogo è necessario eliminare la chiave nel Registro menzionata nell'analisi, creata dal worm per essere eseguito automaticamente all'avvio del sistema. Per modificare il Registro di sistema è possibile usare i programmi REGEDIT (Windows 9x/Millenium) o REGEDT32 (Windows NT/2000). Quindi, al successivo avvio del sistema è necessario cancellare il file NOTEPAD.EXE (contenente il solo codice del worm), rinominando infine il file NOTE.COM in NOTEPAD.EXE, allo scopo di ripristinare la copia originale del programma Notepad.