Trojan.Win32. Qhost.nro

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Упакована при помощи UPX. Распакованный размер – около 145 КБ. Написана на C++.

name="doc3">

Деструктивная активность

После запуска троянец перемещает оригинальный файл "hosts": %System%\drivers\etc\hosts В системный каталог Windows: %System%\hosts После чего выполняет запись в оригинальный файл "hosts" следующих строк:

62.***.97       ag.ru
62.***.97       www.ag.ru
62.***.97       ask.com
62.***.97       www.ask.com
62.***.97       auto.ru
62.***.97       www.auto.ru
62.***.97       avito.ru
62.***.97       www.avito.ru
62.***.97       bing.com
62.***.97       www.bing.com
62.***.97       blogger.com
62.***.97       www.blogger.com
62.***.97       championat.ru
62.***.97       www.championat.ru
62.***.97       community.livejournal.com
62.***.97       www.community.livejournal.com
62.***.97       depositfiles.com
62.***.97       www.depositfiles.com
62.***.97       diary.ru
62.***.97       www.diary.ru
62.***.97       drweb.com
62.***.97       www.drweb.com
62.***.97       en.wikipedia.org
62.***.97       www.en.wikipedia.org
62.***.97       esetnod32.ru
62.***.97       www.esetnod32.ru
62.***.97       facebook.com
62.***.97       www.facebook.com
62.***.97       fastpic.ru
62.***.97       www.fastpic.ru
62.***.97       fishki.net
62.***.97       www.fishki.net
62.***.97       games.rambler.ru
62.***.97       www.games.rambler.ru
62.***.97       gazeta.ru
62.***.97       www.gazeta.ru
62.***.97       gismeteo.ru
62.***.97       www.gismeteo.ru
62.***.97       google.com
62.***.97       www.google.com
62.***.97       google.ru
62.***.97       www.google.ru
62.***.97       habrahabr.ru
62.***.97       www.habrahabr.ru
62.***.97       hh.ru
62.***.97       www.hh.ru
62.***.97       ifolder.ru
62.***.97       www.ifolder.ru
62.***.97       kaspersky.ru
62.***.97       www.kaspersky.ru
62.***.97       kinopoisk.ru
62.***.97       www.kinopoisk.ru
62.***.97       kinozal.tv
62.***.97       www.kinozal.tv
62.***.97       kp.ru
62.***.97       www.kp.ru
62.***.97       lenta.ru
62.***.97       www.lenta.ru
62.***.97       letitbit.net
62.***.97       www.letitbit.net
62.***.97       live.com
62.***.97       www.live.com
62.***.97       liveinternet.ru
62.***.97       www.liveinternet.ru
62.***.97       livejournal.com
62.***.97       www.livejournal.com
62.***.97       loveplanet.ru
62.***.97       www.loveplanet.ru
62.***.97       love.rambler.ru
62.***.97       www.love.rambler.ru
62.***.97       mail.rambler.ru
62.***.97       www.mail.rambler.ru
62.***.97       mamba.ru
62.***.97       www.mamba.ru
62.***.97       marketgid.com
62.***.97       www.marketgid.com
62.***.97       mirtesen.ru
62.***.97       www.mirtesen.ru
62.***.97       mozilla.com
62.***.97       www.mozilla.com
62.***.97       msn.com
62.***.97       www.msn.com
62.***.97       narod.ru
62.***.97       www.narod.ru
62.***.97       newsru.com
62.***.97       www.newsru.com
62.***.97       nova.rambler.ru
62.***.97       www.nova.rambler.ru
62.***.97       odnoklasniki.ru
62.***.97       www.odnoklasniki.ru
62.***.97       odnoklassniki.ru
62.***.97       www.odnoklassniki.ru
62.***.97       ozon.ru
62.***.97       www.ozon.ru
62.***.97       playground.ru
62.***.97       www.playground.ru
62.***.97       pornolab.net
62.***.97       www.pornolab.net
62.***.97       privet.ru
62.***.97       www.privet.ru
62.***.97       qip.ru
62.***.97       www.qip.ru
62.***.97       radikal.ru
62.***.97       www.radikal.ru
62.***.97       rambler.ru
62.***.97       www.rambler.ru
62.***.97       rapidshare.com
62.***.97       www.rapidshare.com
62.***.97       rbc.ru
62.***.97       www.rbc.ru
62.***.97       rian.ru
62.***.97       www.rian.ru
62.***.97       rutracker.org
62.***.97       www.rutracker.org
62.***.97       rutube.ru
62.***.97       www.rutube.ru
62.***.97       ru.wikipedia.org
62.***.97       www.ru.wikipedia.org
62.***.97       smscost.ru
62.***.97       www.smscost.ru
62.***.97       sms-price.ru
62.***.97       www.sms-price.ru
62.***.97       tfile.ru
62.***.97       www.tfile.ru
62.***.97       torrentdownloads.net
62.***.97       www.torrentdownloads.net
62.***.97       turbobit.net
62.***.97       www.turbobit.net
62.***.97       twitter.com
62.***.97       www.twitter.com
62.***.97       vesti.ru
62.***.97       www.vesti.ru
62.***.97       vip-file.com
62.***.97       www.vip-file.com
62.***.97       vk.com
62.***.97       www.vk.com
62.***.97       vkontakte.ru
62.***.97       www.vkontakte.ru
62.***.97       wordpress.com
62.***.97       www.wordpress.com
62.***.97       yahoo.com
62.***.97       www.yahoo.com
62.***.97       yandex.net
62.***.97       www.yandex.net
62.***.97       yandex.ru
62.***.97       www.yandex.ru
62.***.97       ya.ru
62.***.97       www.ya.ru
62.***.97       youtube.com
62.***.97       www.youtube.com
62.***.97       zaycev.net
62.***.97       www.zaycev.net
62.***.97       kav.ru
62.***.97       www.kav.ru
62.***.97       kaspersky.ru
62.***.97       www.kaspersky.ru
62.***.97       esetnod32.ru
62.***.97       www.esetnod32.ru
62.***.97       eset.com
62.***.97       www.eset.com
62.***.97       drweb.com
62.***.97       www.drweb.com
62.***.97       freedrweb.com
62.***.97       www.freedrweb.com
62.***.97       download.drweb.com
62.***.97       www.download.drweb.com
62.***.97       free-av.com
62.***.97       www.free-av.com
62.***.97       symantec.com
62.***.97       www.symantec.com
62.***.97       pandasecurity.com
62.***.97       www.pandasecurity.com

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Измененный файл "hosts" детектируется Антивирусом Касперского как Trojan.Win32.Hosts.gen.