Trojan.Win32.Qhost.br

Троянская программа является приложением Windows (PE EXE-файл), имеет размер около 2 КБ, упакована FSG. Размер распакованного файла — около 24 КБ.

При старте троянец модифицирует файл %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.

В файл hosts добавляются следующие строки и тем самым блокируются обращения к данным сайтам:

  
  127.0.0.1 e-finder.cc
  127.0.0.1 fast-look.com
  127.0.0.1 bin.wordsx.cc
  127.0.0.1 s13.tempx.cc
  127.0.0.1 vv7.al.57e.net
  127.0.0.1 ewizard.cc
  127.0.0.1 awmdabest.com
  127.0.0.1 20x2p.com
  127.0.0.1 rf104.com
  127.0.0.1 75tz.com
  127.0.0.1 v-224.com
  127.0.0.1 rf104.com
  127.0.0.1 ga31.com
  127.0.0.1 crl.thawte.com
  127.0.0.1 t34rulit.com
  127.0.0.1 win-eto.com
  127.0.0.1 super-spider.com
  127.0.0.1 letgohome.com
  127.0.0.1 cc20foreva.com
  127.0.0.1 solongas.com
  127.0.0.1 tracking.allposters.com
  127.0.0.1 vparivalka.com
  127.0.0.1 greg-tut.com
  127.0.0.1 toprefsys.com
  127.0.0.1 free-spy-cam.net
  127.0.0.1 terra.hcworld.com
  127.0.0.1 visitfriend.net
  127.0.0.1 tracktraff.cc
  127.0.0.1 love-catalog.net
  127.0.0.1 trackhits.cc
  127.0.0.1 u47.cc
  127.0.0.1 u48.cc
  127.0.0.1 u45.cx
  127.0.0.1 u46.cx
  127.0.0.1 www.6o9.com
  127.0.0.1 new.8ad.com
  127.0.0.1 veryeasysearch.com
  127.0.0.1 msnprotection.com
  127.0.0.1 adulthell.com
  127.0.0.1 datingforlove.org
  127.0.0.1 meetyourfriend.biz