Trojan-Banker.Win32.Qhost.wo

Технические детали

Троянская программа. Программа является приложением Windows (PE-EXE файл). Имеет размер 20480 байт. Написана на Visual Basic.

Деструктивная активность

При запуске троянец модифицирует системный файл:

%system%\drivers\etc\hosts

При этом все запросы, отправленные по адресам:

bancomer.c***m.mx  bbva.c***m.mx  bancomer.com  www.bancomer.c***m.mx  www.bbva.c***m.mx  www.banco***.com  www.bbvanet.c***m.mx  bbvanet.c***m.mx  

будут автоматически перенаправлены на адрес:

209.***.221.17

После этого троянец завершает свою работу.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Изменить модифицированный файл «%System%\drivers\etc\hosts», используя любое стандартное приложение (например, «Блокнот» — «Notepad»). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999  #  # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.  #  # Этот файл содержит сопоставления IP-адресов именам узлов.  # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен  # находиться в первом столбце, за ним должно следовать соответствующее имя.  # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.  #  # Кроме того, в некоторых строках могут быть вставлены комментарии   # (такие, как эта строка), они должны следовать за именем узла и отделяться  # от него символом '#'.  #  # Например:  #  #      102.54.94.97     rhino.acme.com          # исходный сервер  #       38.25.63.10     x.acme.com              # узел клиента x            127.0.0.1       localhost  

MD5: c6c0cb63bc704d7358d85a26afb591f1
SHA1: 1db6b79f8c2d17664c3d69608b9401714fb0a8c1