S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 29 août 2000
N° CERTA-2000-AVI-036
Affaire suivie par: CERT-FR
le 29 août 2000

Avis du CERT-FR

Objet: Cheval de Troie : Troj/qaz

Gestion du document

Référence CERTA-2000-AVI-036
Titre Cheval de Troie : Troj/qaz
Date de la première version 29 août 2000
Date de la dernière version 29 août 2000
Source(s) Sophos
Symantec
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Cheval de Troie ;
  • Propagation de virus ;
  • Accès aux données.

Systèmes affectés

  • Microsoft Windows 9x ;
  • Microsoft Windows 2000 ;
  • Microsoft Windows NT.

Description

Troj/Qaz est un cheval de Troie permettant à un utilisateur mal intentionné de pouvoir avoir accès, à distance, à une machine infectée.

Lors de son exécution ce cheval de Troie recherche le fichier « notepad.exe » et le renomme en « note.exe ». Il duplique son propre code dans un nouveau fichier nommé « notepad.exe ».

Lorsque l'utilisateur exécute « notepad.exe », le cheval de Troie s'exécute et lance également l'application « bloc note ». Il modifie également la base de registre afin de se charger au démarrage de la machine.

Détection et solution provisoire

Rechercher sur le disque la présence des fichiers suivants :

W32.HLLW.Qaz.A ou Qaz.Trojan

Rechercher la présence de « note.exe » et le renommer en « notepad.exe »

Supprimer dans la base de registre à l'emplacement HKEY_LOCAL_MACHINE\Software\Microsoft\Current\Version\Run la clé : StartIE=notepad.exe

Solution

Mettre à jour votre anti-virus

Documentation

Site Sophos :

http://www.sophos.com/virusinfo/analyses/trojqaz.html


Site Symantec :

http://www.symantec.com/avcenter/venc/data/qaz.trojan.html

Gestion détaillée du document

    le 29 août 2000
    version initiale.