Security Lab

Trojan.Win32. Qhost.hx

Trojan.Win32. Qhost.hx

Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.

Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 1945 байт. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам.

В файл hosts добавлены следующие строки:

  127.0.0.1       dle-news.ru
  127.0.0.1       www.dle-news.ru
  127.0.0.1       pc-soft.ru
  127.0.0.1       www.pc-soft.ru
  127.0.0.1       forum.pc-soft.ru
  127.0.0.1       www.forum.pc-soft.ru
  127.0.0.1       yandex.ru
  127.0.0.1       www.yandex.ru
  127.0.0.1       ya.ru
  127.0.0.1       www.ya.ru
  127.0.0.1       passport.yandex.ru
  127.0.0.1       www.passport.yandex.ru
  127.0.0.1       mail.yandex.ru
  127.0.0.1       www.mail.yandex.ru
  127.0.0.1       nulled.ws
  127.0.0.1       www.nulled.ws
  127.0.0.1       layer-ads.de
  127.0.0.1       www.google-analytics.com
  127.0.0.1       plati.ru
  127.0.0.1       www.plati.ru
  127.0.0.1       digiseller.ru
  127.0.0.1       www.digiseller.ru
  127.0.0.1       binural.ru
  127.0.0.1       www.binural.ru
  127.0.0.1       otvali.ru
  127.0.0.1       www.otvali.ru
  127.0.0.1       spynet.ru
  127.0.0.1       www.spynet.ru
  127.0.0.1       js.redtram.com
  127.0.0.1       gold-music.ru
  127.0.0.1       www.gold-music.ru
  127.0.0.1       gold-music.net
  127.0.0.1       www.gold-music.net
  127.0.0.1       depositfiles.com
  127.0.0.1       www.depositfiles.com
  127.0.0.1       binmovie.ru
  127.0.0.1       www.binmovie.ru

Таким образом, все запросы к данным серверам будут заблокированы.

Все это — результат деятельности другой вредоносной программы.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!