Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.
В файл hosts добавлены следующие строки:
127.0.0.1 dle-news.ru 127.0.0.1 www.dle-news.ru 127.0.0.1 pc-soft.ru 127.0.0.1 www.pc-soft.ru 127.0.0.1 forum.pc-soft.ru 127.0.0.1 www.forum.pc-soft.ru 127.0.0.1 yandex.ru 127.0.0.1 www.yandex.ru 127.0.0.1 ya.ru 127.0.0.1 www.ya.ru 127.0.0.1 passport.yandex.ru 127.0.0.1 www.passport.yandex.ru 127.0.0.1 mail.yandex.ru 127.0.0.1 www.mail.yandex.ru 127.0.0.1 nulled.ws 127.0.0.1 www.nulled.ws 127.0.0.1 layer-ads.de 127.0.0.1 www.google-analytics.com 127.0.0.1 plati.ru 127.0.0.1 www.plati.ru 127.0.0.1 digiseller.ru 127.0.0.1 www.digiseller.ru 127.0.0.1 binural.ru 127.0.0.1 www.binural.ru 127.0.0.1 otvali.ru 127.0.0.1 www.otvali.ru 127.0.0.1 spynet.ru 127.0.0.1 www.spynet.ru 127.0.0.1 js.redtram.com 127.0.0.1 gold-music.ru 127.0.0.1 www.gold-music.ru 127.0.0.1 gold-music.net 127.0.0.1 www.gold-music.net 127.0.0.1 depositfiles.com 127.0.0.1 www.depositfiles.com 127.0.0.1 binmovie.ru 127.0.0.1 www.binmovie.ru
Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой вредоносной программы.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках