製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:PQ
ウイルス情報
ウイルス情報

ウイルス名
W32/QAZ.worm
種別トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4091
対応定義ファイル
(現在必要とされるバージョン)
4317 (現在7507)
対応エンジン4.0.70以降 (現在5600) 
エンジンバージョンの見分け方
別名Qaz.Trojan, QAZ.worm, TROJ_QAZ.A, Trojan/Notepad, W32.HLLW.Qaz.A
情報掲載日00/08/17
発見日(米国日付)00/08/07
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/21Generic.tfr!...
07/21RDN/Generic ...
07/21Downloader.g...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7507
 エンジン:5600
 
ウイルス検索
 




QAZ.wormは、バックドアとしても機能するインターネットウイルスです。このウイルスが実行されると、TCPポート7597でクライアントコンポーネントからの命令を傍聴します。

このトロイの木馬が実行されると、次に示すキーの値でレジストリが変更されます。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
StartIE=C:\WINDOWS\notepad.exe qazwsx.hsq

次にマシンがリブートされたとき、このウイルスはWindowsフォルダにあるNOTEPAD.EXEをNOTE.COMというファイル名に変更して、自身をNOTEPAD.EXEとしてWindowsフォルダにコピーします。

ユーザがNOTEPADを実行するたびに、このウイルスが実行され、NOTE.COMを起動します。

このウイルスは、ネットワーク接続を利用して、Windowsフォルダにアクセスできる他のマシンに繁殖して、自身を"NOTEPAD.EXE"としてコピーします。

重大な点は、このウイルスのサイズは120,320バイトですが、実際のNOTEPAD.EXEのサイズは52KBだということです。

'NOTE.COM'というファイルが存在し、新しく"NOTEPAD.EXE"(120,320バイト)というファイルが作成されます。TCPポート7597にデータパケットトラフィックが発生します。

手動駆除方法

  1. すべてのハードディスクに対して手動でスキャンを行ない、検出された場合は削除ボタンを押し、削除する。

  2. レジストリHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunにあるstartIEというレジストリキーを削除する。

  3. マシンを再起動して、「note.com」ファイルを検索し、「note.com」ファイルを「notepad.exe」ファイルにリネームする。「note.com」がない場合はこれで終了。

    補足:「notepad.exe」を立ち上げる事ができない場合は、正常なマシンの「notepad.exe」を感染マシンに上書きコピーする。