Trojan.Win32.VkHost.coc

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 418304 байта. Написана на Delphi.

Деструктивная активность

После запуска троянец перезаписывает оригинальный файл "hosts":

C:\WINDOWS\system32\drivers\etc\hosts

Дописывая в файл следующие строки:

46.37.***.149 www.vkontakte.ru  46.37.***.149 vkontakte.ru  46.37.***.149 www.vk.com  46.37.***.149 vk.com  46.37.***.149 durov.ru  46.37.***.149 www.durov.ru  46.37.***.149 www.odnoklassniki.ru  46.37.***.149 odnoklassniki.ru  

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Для измененного файла "hosts" устанавливает атрибуты "Скрытый", "Системный".

Создает файл:

C:\WINDOWS\system32\drivers\etc\hоsts

Где буква "о" в названии файла является кириллическим символом. В созданный файл троянец записывает следующее содержимое:

# Copyright (c) 1993-1999 Microsoft Corp.  #  # This is a  sample HOSTS file used by Microsoft TCP/IP for Windows.  #  # This file contains the mappings of IP addresses to host names. Each  # entry should  be kept on an individual line. The IP address should  # be placed in the first column followed by the corresponding host name.  # The IP address  and the host name should be separated by at least one  # space.  #  # Additionally, comments (such as these) may be inserted on individual  # lines or following the machine name denoted by a # symbol.  #  # For example:  #  #      102.54.94.97     rhino.acme.com          # source server  #       38.25.63.10     x.acme.com              # x client host     127.0.0.1       localhost  

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Восстановить оригинальное содержимое файла:

   %windir%\system32\drivers\etc\hosts  

   которое по умолчанию имеет следующий вид:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999  #  # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.  #  # Этот файл содержит сопоставления IP-адресов именам узлов.  # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен  # находиться в первом столбце, за ним должно следовать соответствующее имя.  # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.  #  # Кроме того, в некоторых строках могут быть вставлены комментарии   # (такие, как эта строка), они должны следовать за именем узла и отделяться  # от него символом '#'.  #  # Например:  #  #      102.54.94.97     rhino.acme.com          # исходный сервер  #       38.25.63.10     x.acme.com              # узел клиента x    127.0.0.1       localhost  

MD5: 2324D68940364E7FAFEFE290633A0482
SHA1: B7A191290905D79DB7B2CCA9AFFBD16BC4ADC859