QAZ.trojan

Notepad.exeファイルに感染し、コンピュータ・システムの共有ネットワーク上に広がるトロイの木馬の一種で、構成している悪質なプログラムの1つがポート7597を開き、ハッカーはここからコンピュータに侵入できるようになる。電子メール、Webサイトからのダウンロード、IRCチャットルームなどを経由して感染することが多かったが、2000年10月29日にMicrosoft社が発表した企業内ネットワークでの感染のうに、企業LANでの感染も報告されるようになっている。QAZ.trojanは，感染したマシンと同じネットワークドライブを共有しているほかのWindows搭載マシンのフォルダを検索し、Notepad.exeのファイル名をNotepad.exeファイルを探し出して、さらに感染を拡散する。QAZ.trojanはまずNotepad.exeのファイル名を「Note.com」変更して、ウイルスに感染した新しいファイルのサイズは120,320バイト(正常なNotepad.exeファイルは52Kバイト)の別のNotepad.exeを作る。感染した場合は、120,320バイトのNotepad.exeファイルを削除し、Note.comをNotepad.exeにファイル名を変更し、「HKLM\Software\Microsoft\WindowsCurrentVersion\Run as value StartIE=notepad.exe」というレジストリを削除する。さらに、ネットワーク上のほかのコンピュータに120,320バイトのNotepad.exeファイルの有無を調べ、見つかった場合は、同様の作業を繰り返すことで正常な環境に戻すことが可能になる。