Trojan.Win32.VkHost.dfa

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 519680 байт. Написана на Delphi.

Деструктивная активность

После запуска троянец перезаписывает оригинальный файл "hosts":

%WinDir%\system32\drivers\etc\hosts

Записывая в файл следующие строки:

173.*.114.161 vkontakte.ru  173.*.114.161 vk.com  173.*.114.161 durov.ru  173.*.114.161 www.vkontakte.ru  173.*.114.161 yandex.ru  173.*.114.161 google.ru  173.*.114.161 wikipedia.ru  173.*.114.161 mail.ru  173.*.114.161 odnoklassniki.ru  173.*.114.161 rambler.ru  173.*.114.161 ya.ru  173.*.114.161 google.com  173.*.114.161 www.google.ru  173.*.114.161 www.vk.com  173.*.114.161 www.durov.ru  173.*.114.161 www.yandex.ru  173.*.114.161 www.mail.ru  173.*.114.161 www.google.com  173.*.114.161 www.ya.ru  173.*.114.161 www.rambler.ru  173.*.114.161 www.odnoklassniki.ru  173.*.114.161 pda.vkontakte.ru  173.*.114.161 m.vkontakte.ru  173.*.114.161 www.m.vkontakte.ru  173.*.114.161 www.otvet.mail.ru  173.*.114.161 www.nigma.ru  173.*.114.161 nigma.ru  173.*.114.161 forum.antichat.ru  173.*.114.161 www.forum.antichat.ru  173.*.114.161 google.ua  173.*.114.161 www.google.ua  

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Для измененного файла "hosts" устанавливает атрибут "Скрытый".

Создает файл с нулевым размером:

%WinDir%\system32\drivers\etc\hоsts

Где буква "о" в названии файла является кириллическим символом.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Восстановить оригинальное содержимое файла:

   %WinDir%\system32\drivers\etc\hosts

   которое по умолчанию имеет следующий вид:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999  #  # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.  #  # Этот файл содержит сопоставления IP-адресов именам узлов.  # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен  # находиться в первом столбце, за ним должно следовать соответствующее имя.  # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.  #  # Кроме того, в некоторых строках могут быть вставлены комментарии   # (такие, как эта строка), они должны следовать за именем узла и отделяться  # от него символом '#'.  #  # Например:  #  #      102.54.94.97     rhino.acme.com          # исходный сервер  #       38.25.63.10     x.acme.com              # узел клиента x    127.0.0.1       localhost  

MD5: 406E0B5A34D4533B46D25857E1193459
SHA1: D40F5724957DC049356768FEDBA37DE9AF6F7FCD