QAZ-trojaneren kjent siden juli

Verktøyet som skal ha vært brukt i innbruddet mot Microsoft, ble oppdaget i juli i år. Virusvernleverandørene har hatt botemiddel klart siden i sommer.

Sikkerhetsselskapet Sophos sammenfatter hver måned en oversikt over hva slags virus kundene har meldt tilbake om i løpet av måneden. På septemberlisten figurerer Troj/Qaz på delt femteplass, med 4,4 prosent av smitteforsøkene. Øverst på listen troner VBS/Kakworm med 18,3 prosent, mens siste Loveletter-utgave (avart av ILOVEYOU) er på andreplass med 7,3 prosent.

På den kontinuerlig oppdaterte oversikten til Trend Micro figurerer QAZ ikke.

Ifølge Symantec ble Qaz.Trojan oppdaget i Kina 16. juli i år, og omdøpt til W32.HLLW.Qaz.A 10. august. Per 14. september var det registrert fire ulike varianter. Botemiddel har vært tilgjengelig siden 18. juli.

Beskrivelsene av funksjonsmåten stemmer helt med den måten ekspertene mener Microsoft er smittet. QAZ endrer notepad.exe, oppretter en bakdør til offerets maskin, og sender offerets IP-adresse til virusets avsender gjennom en e-postmelding. Den er i stand til å spre seg selv videre gjennom det infiserte nettverket. Den holder kontakten utad ved å endre Windows Registry slik at bakdøren aktiveres hver gang PC-en startes.

Trend Micro karakteriserer smitterisikoen som "medium". Symantec vurderer trusselnivået - en kombinasjon av smittefare og skadeomfang - til nivå fire etter en skala fra en til fem. CIH og Loveletter er tildelt samme trusselnivå, mens Melissa er vurdert til nivå fem.

Til toppen