Security Lab

Trojan.Win32.Qhost.xfq

Trojan.Win32.Qhost.xfq

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 4096 байт. Написана на C++.


Деструктивная активность

Троянец запускается с параметром-строкой, содержащей путь к некоторому файлу. В случае запуска без параметра, вредонос завершает свою работу, не выполняя каких-либо действий.

В ходе своей работы троянец подменяет файл "hosts": 

%System%\drivers\etc\hosts
файлом, путь к которому получен в параметре запуска. Таким образом, может осуществляться перенаправление пользователя на определенные сайты либо же запрет доступа к некоторым ресурсам.

Далее для файла "hosts" устанавливаются атрибуты "скрытый" (hidden) и "только чтение" (read only). После этого троянец удаляет файл, путь к которому получен в параметре запуска, и завершает свою работу.


Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  2. Восстановить оригинальное содержимое файла "hosts": 
    %System%\drivers\etc\hosts
    По умолчанию данный файл имеет следующий вид: 
    # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999  #  # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.  #  # Этот файл содержит сопоставления IP-адресов именам узлов.  # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен  # находиться в первом столбце, за ним должно следовать соответствующее имя.  # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.  #  # Кроме того, в некоторых строках могут быть вставлены комментарии  # (такие, как эта строка), они должны следовать за именем узла и отделяться  # от него символом '#'.  #  # Например:  #  # 102.54.94.97 rhino.acme.com # исходный сервер  # 38.25.63.10 x.acme.com # узел клиента x    127.0.0.1 localhost

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь