Trojan.Win32. Qhost.gl
Trojan.Win32. Qhost.gl
Alexander Antipov
Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.
Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам.
В файл hosts добавлены следующие строки:
# System Hosts File
# DO NOT REMOVE IT !
127.0.0.1 nwolb.com
127.0.0.1 hsbc.co.uk
127.0.0.1 www.hsbc.co.uk
127.0.0.1 abbey.com
127.0.0.1 www.abbey.com
127.0.0.1 www.abbey.co.uk
127.0.0.1 abbey.co.uk
127.0.0.1 cahoot.com
127.0.0.1 www.cahoot.com
127.0.0.1 www.cahoot.co.uk
127.0.0.1 cahoot.co.uk
127.0.0.1 www.co-operativebank.co.uk
127.0.0.1 co-operativebank.co.uk
127.0.0.1 www.co-operativebank.com
127.0.0.1 co-operativebank.com
127.0.0.1 welcome2.co-operativebankonline.co.uk
127.0.0.1 welcome6.co-operativebankonline.co.uk
127.0.0.1 welcome8.co-operativebankonline.co.uk
127.0.0.1 welcome10.co-operativebankonline.co.uk
127.0.0.1 www.smile.co.uk
127.0.0.1 smile.co.uk
127.0.0.1 www.cajamar.es
127.0.0.1 cajamar.es
127.0.0.1 www.cajamar.com
127.0.0.1 cajamar.com
127.0.0.1 www.unicaja.es
127.0.0.1 unicaja.es
127.0.0.1 www.unicaja.com
127.0.0.1 unicaja.com
127.0.0.1 www.caixagalicia.es
127.0.0.1 caixagalicia.es
127.0.0.1 www.caixagalicia.com
127.0.0.1 caixagalicia.com
127.0.0.1 activa.caixagalicia.es
127.0.0.1 www.caixapenedes.es
127.0.0.1 caixapenedes.es
127.0.0.1 www.caixapenedes.com
127.0.0.1 caixapenedes.com
127.0.0.1 bancae.caixapenedes.com
127.0.0.1 www.caixasabadell.es
127.0.0.1 caixasabadell.es
127.0.0.1 www.caixasabadell.net
127.0.0.1 caixasabadell.net
127.0.0.1 www.cajamadrid.es
127.0.0.1 cajamadrid.es
127.0.0.1 www.cajamadrid.com
127.0.0.1 cajamadrid.com
127.0.0.1 oi.cajamadrid.es
127.0.0.1 www.ccm.es
127.0.0.1 ccm.es
127.0.0.1 www.haspa.de
127.0.0.1 haspa.de
127.0.0.1 ssl2.haspa.de
127.0.0.1 www.dresdner-bank.de
127.0.0.1 dresdner-bank.de
127.0.0.1 www.dresdner-privat.de
127.0.0.1 postbank.de
127.0.0.1 www.postbank.de
127.0.0.1 banking.postbank.de
127.0.0.1 www.sparda-b.de
127.0.0.1 sparda-b.de
127.0.0.1 www.bankingonline.de
127.0.0.1 www.raiffeisenbank-erding.de
127.0.0.1 raiffeisenbank-erding.de
127.0.0.1 www.vr-networld-ebanking.de
127.0.0.1 vr-networld-ebanking.de
127.0.0.1 www.bnhof.de
127.0.0.1 bnhof.de
127.0.0.1 www.deutsche-bank.de
127.0.0.1 deutsche-bank.de
127.0.0.1 meine.deutsche-bank.de
127.0.0.1 www.citibank.de
127.0.0.1 citibank.de
127.0.0.1 www.dkb.de
127.0.0.1 dkb.de
127.0.0.1 www.sparkasse-regensburg.de
127.0.0.1 sparkasse-regensburg.de
127.0.0.1 www.berliner-bank.de
127.0.0.1 berliner-bank.de
127.0.0.1 www.berliner-sparkasse.de
127.0.0.1 berliner-sparkasse.de
127.0.0.1 www.wellsfargo.com
127.0.0.1 wellsfargo.com
127.0.0.1 www.bankofamerica.com
127.0.0.1 bankofamerica.com
127.0.0.1 www.usbank.com
127.0.0.1 usbank.com
127.0.0.1 www.bankone.com
127.0.0.1 bankone.com
127.0.0.1 www.citibank.com
127.0.0.1 citibank.com
127.0.0.1 www.capitalone.co.uk
127.0.0.1 capitalone.co.uk
# DO NOT REMOVE IT !
127.0.0.1 nwolb.com
127.0.0.1 hsbc.co.uk
127.0.0.1 www.hsbc.co.uk
127.0.0.1 abbey.com
127.0.0.1 www.abbey.com
127.0.0.1 www.abbey.co.uk
127.0.0.1 abbey.co.uk
127.0.0.1 cahoot.com
127.0.0.1 www.cahoot.com
127.0.0.1 www.cahoot.co.uk
127.0.0.1 cahoot.co.uk
127.0.0.1 www.co-operativebank.co.uk
127.0.0.1 co-operativebank.co.uk
127.0.0.1 www.co-operativebank.com
127.0.0.1 co-operativebank.com
127.0.0.1 welcome2.co-operativebankonline.co.uk
127.0.0.1 welcome6.co-operativebankonline.co.uk
127.0.0.1 welcome8.co-operativebankonline.co.uk
127.0.0.1 welcome10.co-operativebankonline.co.uk
127.0.0.1 www.smile.co.uk
127.0.0.1 smile.co.uk
127.0.0.1 www.cajamar.es
127.0.0.1 cajamar.es
127.0.0.1 www.cajamar.com
127.0.0.1 cajamar.com
127.0.0.1 www.unicaja.es
127.0.0.1 unicaja.es
127.0.0.1 www.unicaja.com
127.0.0.1 unicaja.com
127.0.0.1 www.caixagalicia.es
127.0.0.1 caixagalicia.es
127.0.0.1 www.caixagalicia.com
127.0.0.1 caixagalicia.com
127.0.0.1 activa.caixagalicia.es
127.0.0.1 www.caixapenedes.es
127.0.0.1 caixapenedes.es
127.0.0.1 www.caixapenedes.com
127.0.0.1 caixapenedes.com
127.0.0.1 bancae.caixapenedes.com
127.0.0.1 www.caixasabadell.es
127.0.0.1 caixasabadell.es
127.0.0.1 www.caixasabadell.net
127.0.0.1 caixasabadell.net
127.0.0.1 www.cajamadrid.es
127.0.0.1 cajamadrid.es
127.0.0.1 www.cajamadrid.com
127.0.0.1 cajamadrid.com
127.0.0.1 oi.cajamadrid.es
127.0.0.1 www.ccm.es
127.0.0.1 ccm.es
127.0.0.1 www.haspa.de
127.0.0.1 haspa.de
127.0.0.1 ssl2.haspa.de
127.0.0.1 www.dresdner-bank.de
127.0.0.1 dresdner-bank.de
127.0.0.1 www.dresdner-privat.de
127.0.0.1 postbank.de
127.0.0.1 www.postbank.de
127.0.0.1 banking.postbank.de
127.0.0.1 www.sparda-b.de
127.0.0.1 sparda-b.de
127.0.0.1 www.bankingonline.de
127.0.0.1 www.raiffeisenbank-erding.de
127.0.0.1 raiffeisenbank-erding.de
127.0.0.1 www.vr-networld-ebanking.de
127.0.0.1 vr-networld-ebanking.de
127.0.0.1 www.bnhof.de
127.0.0.1 bnhof.de
127.0.0.1 www.deutsche-bank.de
127.0.0.1 deutsche-bank.de
127.0.0.1 meine.deutsche-bank.de
127.0.0.1 www.citibank.de
127.0.0.1 citibank.de
127.0.0.1 www.dkb.de
127.0.0.1 dkb.de
127.0.0.1 www.sparkasse-regensburg.de
127.0.0.1 sparkasse-regensburg.de
127.0.0.1 www.berliner-bank.de
127.0.0.1 berliner-bank.de
127.0.0.1 www.berliner-sparkasse.de
127.0.0.1 berliner-sparkasse.de
127.0.0.1 www.wellsfargo.com
127.0.0.1 wellsfargo.com
127.0.0.1 www.bankofamerica.com
127.0.0.1 bankofamerica.com
127.0.0.1 www.usbank.com
127.0.0.1 usbank.com
127.0.0.1 www.bankone.com
127.0.0.1 bankone.com
127.0.0.1 www.citibank.com
127.0.0.1 citibank.com
127.0.0.1 www.capitalone.co.uk
127.0.0.1 capitalone.co.uk
Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой троянской программы.
Ищем баги вместе! Но не те, что в продакшене...
Разбираем кейсы, делимся опытом, учимся на чужих ошибках