Trojan-Banker.Win32. Qhost.ez
Trojan-Banker.Win32. Qhost.ez
Alexander Antipov
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл).
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 49152 байта. Написана на Visual Basic.
Инсталляция
Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"GoogleUpdate"="<путь_к_оригинальному_телу_троянца>"
"GoogleUpdate"="<путь_к_оригинальному_телу_троянца>"
name="doc3">
Деструктивная активность
После запуска троянец выполняет следующие действия:
- Каждые 50 мс троянец осуществляет поиск и скрытие окна с именем:
avenger - Bloco de notas
- Каждые 50 секунд троянец выполняет загрузку файла со следующего URL:
http://dh***iku.com/images/atual.txt http://dh***iku.com/images/atual.gif
На момент создания описания ссылки не работали.В случае успешной загрузки файлов, сохраняет из в своем рабочем каталоге под именами:
%WorkDir%\atual.txt %WorkDir%\atual.exe
После чего запускает файл "atual.exe" на выполнение. - Каждые 500 мс троянец производит перезапись файла:
%System%\drivers\etc\hosts
Следующим содержимым:visanet.com.br 199.***.166# SpyBo t search and Destroy 199.***.166 www.visanet.com.br 199.***.166 www.bancoreal.com.br 199.***.166 real.com.br 199.***.166 www.real.com.br 199.***.166 www.itau.com.br 199.***.166 itau.com.br 199.***.166 www.itaupersonnalite.com.br 199.***.166 itaupersonnalite.com.br 199.***.166 www.itauprivatebank.com.br 199.***.166 itauprivatebank.com.br 199.***.166 www.bb.com.br 199.***.166 bb.com.br 199.***.166 www.bb.gov.br 199.***.166 bb.gov.br 199.***.166 bradesco.com.br 199.***.166 www.bradesco.com.br 199.***.166 www.bradescoprime.com.br 199.***.166 bradescoprime.com.br 199.***.166 bradescojuridico.com.br 199.***.166 www.checktudo.com.br 199.***.166 checktudo.com.br 199.***.166 www.infoseg.gov.br 199.***.166 infoseg.gov.br 199.***.166 www.bradescojuridico.com.br 199.***.166 santander.com.br 199.***.166 www.santander.com.br 199.***.166 banespa.com.br 199.***.166 www.nossacaixa.com.br 199.***.166 nossacaixa.com.br 199.***.166 www.unibanco.com.br 199.***.166 unibanco.com.br 199.***.166 www.banespa.com.br 199.***.166 www.itauprivatebank.com.br 199.***.166 itauprivatebank.com.br 199.***.166 cetelem.com.br 199.***.166 www.cetelem.com.br 199.***.166 citibank.com.br 199.***.166 www.citibank.com.br 199.***.166 www.cartaobndes.gov.br 199.***.166 cartaobndes.gov.br
что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.
Мы нашли признаки жизни...в вашем смартфоне!
Наш канал — питательная среда для вашего интеллекта