"Verseuchte" Notepad-Version im Umlauf
Eine "verseuchte" Notepad-Version sorgt seit einigen Tagen für Aufregung bei Windows-Anwendern.
Seit einigen Tagen gehen in der c't-Redaktion vermehrt Hinweise auf ein verseuchtes Notepad.exe ein, das automatisch eine Verbindung zu einem Rechner mit IP-Adresse 202.106.185.107 öffnet. Bei Ausführung nistet sich das Programm in der Registry unter
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\StartIE="Pfad"\notepad.exe qazwsx.hsq
ein und benennt nach einem Neustart des Rechners das originale Notepad.exe in Note.com um. Danach kopiert es sich selbst an dessen Stelle. Wie Andreas Marx, Mitbetreiber eines Antiviren-Centers der Universität Magdeburg mitteilte, verbreitet sich das Programm über Windows-Shares (Netbios) und sucht weitere Notepads.
Am einfachsten erkennt man die Infizierung durch das verseuchte Notepad anhand seiner Dateigröße von 120320 Bytes. Der als "W32/QAZ.Worm" identifizierte Wurm ist bereits seit August diesen Jahres bekannt und sollte sich mit aktuellen Viren-Scannern entfernen lassen. Alternativ kann man befallene Rechner von dem QAZ.Worm befreien, indem man den Registry-Eintrag sowie Notepad.exe löscht und anschließend Note.com wieder in Notepad.exe umbenennt.
Woher der Wurm stammt und wodurch sich betroffene Rechner infiziert haben ist derzeit noch nicht bekannt. (vza)
