Security Lab

Trojan.Win32.Qhost.it

Trojan.Win32.Qhost.it

Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.

Технические детали:
Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 964 байта. Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к данным сайтам.

Деструктивная активность
В файл hosts добавлены следующие строки:

       127.0.0.1 www.trendmicro.com
       127.0.0.1 rads.mcafee.com
       127.0.0.1 customer.symantec.com
       127.0.0.1 liveupdate.symantec.com
       127.0.0.1 us.mcafee.com
       127.0.0.1 updates.symantec.com
       127.0.0.1 www.nai.com
       127.0.0.1 secure.nai.com
       127.0.0.1 dispatch.mcafee.com
       127.0.0.1 download.mcafee.com
       127.0.0.1 www.my-etrust.com
       127.0.0.1 mast.mcafee.com
       127.0.0.1 ca.com
       127.0.0.1 www.ca.com
       127.0.0.1 networkassociates.com
       127.0.0.1 www.networkassociates.com
       127.0.0.1 avp.com
       127.0.0.1 www.kaspersky.com
       127.0.0.1 www.avp.com
       127.0.0.1 downloads4.kaspersky-labs.com
       127.0.0.1 downloads3.kaspersky-labs.com
       127.0.0.1 downloads2.kaspersky-labs.com
       127.0.0.1 downloads1.kaspersky-labs.com
       127.0.0.1 www.f-secure.com
       127.0.0.1 viruslist.com
       127.0.0.1 www.viruslist.com
       127.0.0.1 liveupdate.symantecliveupdate.com
       127.0.0.1 www.mcafee.com
       127.0.0.1 sophos.com
       127.0.0.1 www.sophos.com
       127.0.0.1 securityresponse.symantec.com
       127.0.0.1 www.symantec.com
  
  
Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой вредоносной программы.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь