Online-Handel
So hätte Micosoft den Hack verhindern können
Der Qaz-Wurm/ Qaz.Trojan ist leicht zu erkennen und beseitigen
Nach dem vorliegenden Berichten wurde bei der Attacke gegen Microsoft
ein so genanntes
"Trojanisches Pferd" eingesetzt. Dieses Programm mit dem Namen "QAZ" habe heimlich Passwörter von Mitarbeitern protokolliert. Ein Microsoft-Angestellter habe sich über E-Mail infiziert.
Seit Juni unterwegs
Der Qaz-Wurm, auch als Qaz.Trojan bekannt, treibt seit Juni dieses Jahres sein Unwesen.
Zu erkennen ist ein Befall an der normen Größe der Notepad-Datei. Statt 56 Kilobyte bringt es ein infiziertes Notepad auf 120 Kilobyte. Zudem ändert er dieWindows Registry-Datei ---> HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value StartIE=notepad.exe
Hierdurch wird das falsche Notepad bei jedem Neustart aktiviert.
Abschließend mailt der Qaz-Wurm die IP-Adresse
des befallenen Rechners an den Hacker und wartet dann als Trojanisches Pferd an Port 7597 auf Befehle.
Durchsucht ohne Befehl
Qaz durchsucht das Netzwerk nach Computern,
die er infizieren kann. Er tut dies, indem er auch dort Notepad.exe ersetzt
und das ursprüngliche Notepad als Note.com abspeichert. Der Wurm
verbreitet sich nicht von selber außerhalb geschlossener Netzwerke.
Search and Destroy
Aktuelle Anti-Virenprogramme erkennen und beseitigen den Schädling "automatisch" - bzw. läßt er sich leicht "per Hand" entfernen. Auf
PC-Welt
findet sich folgende Anleitung:
- Löschen sie alle Dateien mit der Bezeichnung W32.HLLW.Qaz.A oder
az.Trojan.
- Suchen Sie nach Note.com und ersetzen Sie damit notepad.exe.
- Entfernen Sie aus der Registry den Eintrag
HKLM\Software\Microsoft\Windows\CurrentVersion\Run as value
StartIE=notepad.exe
- Überprüfen Sie die angeschlossenen Netzwerkrechner Rechner auf eine Infektion mit Qaz. Führen Sie
dort gegebenenfalls die gleichen Arbeitsschritte aus.(APA/Reuters/red/PC-Welt)