آشنایی با ویروس

نام :Qaz

نام مستعار : Worm.Qaz, Worm_Qaz, W95/Qaz.110549

این ویروس یك كرم شبكه ای است و از طریق یكBackdoor  خود را بر روی  سیستم ازWin32 توسعه و انتشار می دهد. این كرم در بین ماه هایJuly و August سال 2000  پخش شد . حجم فایل اجرایی آن 120 كیلو بایت بوده  و با زبان برنامه نویسی MS Visual C++ نوشته شده است . وقتی فایل آلوده اجرا می شود كرم یكStartup در رجیستری می سازد :

HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/RunstartIE = "filename qazwsx.hsq"

قسمتFilename اسم بدنه كرم می باشد (دیدن مادون كه معمولاNotepad.exe است ) و در نتیجه كرم روی هر ویندوزی در حالت Startup اجرا شود . سپس كرم به صورت برنامه اجرایی درRAM بارگذاری شده و خود را درTaskList مخفی می كند .

این كرم دو عمل را با هم و موازی انجام می دهد . كه اولی پخش كردن خود و دومی اجرای Backdoor است .

كار اول این كرم یعنی پخش شدن بر روی شبكه بدین صورت است كه كرم یك كپی از خود را بر رویLAN و بر روی درایو های به اشتراك گذاشته شده كه قابلیت خواندن و نوشتن دارند قرار می دهد . این كرم در شبكه به دنبال عبارت و رشتهWIN گشته و پس از پیدا كردن آن به دنبال فایلNotepad.exe بر روی شاخه ویندوز می گردد و اسم آن را بهNote.com تغییر می دهد و درون آن می نویسدNotepad.exe .  در نتیجه این عمل می توانnotepad واقعی را در فایلNote.com پیدا كرد . كد های این كرم درNotepad.exeقرار دارند. این كرم به محض آنكه كاربر Notepad را باز كند ، فعال خواهد شد و بدین شكل ماشین را آلوده تر می كند .

ساختار Backdoor آن روالی ساده دارد و آن از فرمان های كمی پشتیبانی می كند :Run ، برای اجرا كردن فایلهای از پیش تعیین شده .UPLOAD ، برای آپلود كردن فایلها (فایلهای ساختگی بر روی ماشین قربانی ) وQUIT ، برای خاتمه دادن به روال كرم به كار می رود .این كرم برای نصب و اجرای خود از همین سه فرمان استفاده می كند.  همچنین این كرم به نویسنده خود خبر می دهد كه سیستم قربانی آلوده شده است .