TROYANO NOTEPAD/QAZ.A

© Jorge Machado  Lima-Perú

El Notepad o QAZ.A es un troyano de reciente aparición, bajo la forma de un archivo con extensión .EXE.  

Una vez ingresado en forma subrepticia a un sistema y después de una serie de rutinas, tiene como objetivo principal el reconocer el IP de las estaciones de trabajo del sistema infectado, pudiendo lograr un control remoto de los equipos afectados y auto-enviado mensajes de correo en una forma muy diferente a la empleada por otros troyanos, que lo hacen empleando la Libreta de Direcciones de MS Outlook.  

Características 

Se distribuye a través de un archivo anexado a mensajes de correo electrónico, enviados por Internet, o entre Networks (Intranets o Extranets), mediante un archivo NOTEPAD.EXE, el mismo que fácilmente podría ser renombrado por una tercera persona, al retransmitirlo. Ingresa por puntos vulnerables del sistema, más conocidos como "holes" o "puertas falsas", para de allí poder tomar control, en forma remota, de las estaciones de trabajo en función de sus correspondientes direcciones IP.

Forma de infección

El Notepad o QAZ.A inserta una línea en el registro de Windows con el objeto de que sea activado cada vez que el sistema es iniciado:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  

A la cual se le agrega además la llave:

startIE "NOTEPAD.EXE qazwsx.hsq

En primer lugar el troyano Notepad busca el archivo NOTEPAD.EXE y lo renombra como NOTE.COM. Luego se copia así mismo en el directorio de Windows como un nuevo archivo NOTEPAD.EXE. Esto significa que el virus será activado además, cada vez que se ejecute el Bloc de Notas de Windows.

El virus se se hace accesible a todas las unidades de red (no necesariamente compartidas) y por consiguiente puede infectar a otros sistemas.

Posteriormente se activa en memoria y procede a abrir todos los Puertos de Comunicaciones TCP. De tal modo que estos puertos serán usados en una etapa posterior para acceder a las computadoras afectadas, en la medida que su sus direcciones IP son reconocidas.

Para que esto surta efecto, abre el Puerto 759 y luego busca todos los puertos posibles, empezando por un número de puerto aleatorio. Una vez que esta acción ha sido llevada a cabo, procede a aperturar todos los puertos hallados.

El Troyano Notepad, no se auto-envía por medio del MS Outlook. Su autor ha incorporado la habilidad de hacerlo vía Email, por medio de la dirección IP del sistema infectado. Para lograr este objetivo, no emplea el MAPI (Windows API que maneja los mensajes de salida de correo en Windows) y en su lugar se auto-envía a través del protocolo SMTP

En este caso envía el IP a la siguiente dirección: 202.106.185.107, usando el siguiente nombre de remitente: nongmin_cn. Sin embargo, es posible re-configurar esta opción a voluntad de un usuario que quiera re-infectar otros sistemas.

PER ANTIVIRUS® detecta este Caballo de Troya, impide su ejecución y lo elimina eficientemente.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS