Trojan-Clicker. Win32.Qhost.v

Примитивный Win32-троянец, основная функция которого — подмена или модификация файла hosts, который используется для перевода доменных имен (DNS) в IP-адреса.

Примитивный Win32-троянец, основная функция которого — подмена или модификация файла hosts, который используется для перевода доменных имен (DNS) в IP-адреса.

Троянская программа представляет собой Windows PE-EXE файл. Имеет размер 167936 байт.

После запуска троянец выдает сообщение об ошибке, чем вызывает у пользователя иллюзию о том, что он не был запущен.

Тем не менее, троянец модифицирует файл hosts (%System%\drivers\etc\hosts), прописывая туда следующие ложные соответствия:

 218.5.76.71 1ting.com
 218.5.76.71 www.1ting.com
 218.5.76.71 yy138.com
 218.5.76.71 www.yy138.com
 218.5.76.71 dj99.com
 218.5.76.71 www.dj99.com
 218.5.76.71 520music.com
 218.5.76.71 www.520music.com
 218.5.76.71 vv66.com
 218.5.76.71 www.vv66.com
 218.5.76.71 666ccc.com
 218.5.76.71 www.666ccc.com
 218.5.76.71 666qqq.com
 218.5.76.71 www.666qqq.com
 218.5.76.71 100yy.com
 218.5.76.71 www.100yy.com
 218.5.76.71 006.net
 218.5.76.71 www.006.net
 218.5.76.71 2t.cn
 218.5.76.71 www.2t.cn
 218.5.76.71 cococ.com
 218.5.76.71 www.cococ.com
 218.5.76.71 ting.cococ.com
 218.5.76.71 yymp3.com
 218.5.76.71 www.yymp3.com
 218.5.76.71 qq163.com
 218.5.76.71 www.qq163.com
 218.5.76.71 7760.com
 218.5.76.71 www.7760.com
 218.5.76.71 568.com
 218.5.76.71 www.568.com
 218.5.76.71 nowok.net
 218.5.76.71 www.nowok.net
 218.5.76.71 chinamp3.com
 218.5.76.71 www.chinamp3.com
 218.5.76.71 99music.net
 218.5.76.71 www.99music.net
 218.5.76.71 6621.com
 218.5.76.71 www.6621.com
 218.5.76.71 7t7t.com
 218.5.76.71 www.7t7t.com
 218.5.76.71 haoting.com
 218.5.76.71 www.haoting.com
 218.5.76.71 mtv110.com
 218.5.76.71 www.mtv110.com
 218.5.76.71 st020.com
 218.5.76.71 www.st020.com
 218.5.76.71 music.jschina.com.cn
 218.5.76.71 real2000.org
 218.5.76.71 www.real2000.org
 218.5.76.71 6bb.com
 218.5.76.71 www.6bb.com
 218.5.76.71 5474.com
 218.5.76.71 www.5474.com
 218.5.76.71 qq163.com
 218.5.76.71 www.qq163.com
 218.5.76.71 ting88.com
 218.5.76.71 www.ting88.com
 218.5.76.71 tt78.com
 218.5.76.71 www.tt78.com
 218.5.76.71 8yh.com
 218.5.76.71 mp3.8yh.com
 218.5.76.71 ibmp3.com
 218.5.76.71 www.ibmp3.com
 218.5.76.71 feifa.com
 218.5.76.71 www.feifa.com
 218.5.76.71 music.feifa.com
 218.5.76.71 91f.net
 218.5.76.71 www.91f.net
 218.5.76.71 6621.com
 218.5.76.71 www.6621.com
 218.5.76.71 ting163.com
 218.5.76.71 www.ting163.com
 218.5.76.71 99music.net
 218.5.76.71 www.99music.net
 218.5.76.71 wo99.com
 218.5.76.71 www.wo99.com
 218.5.76.71 jnnc.com
 218.5.76.71 www.jnnc.com
 218.5.76.71 mtv123.com
 218.5.76.71 www.mtv123.com
 218.5.76.71 dj520.com
 218.5.76.71 www.dj520.com
 218.5.76.71 7xi.net
 218.5.76.71 www.7xi.net
 218.5.76.71 mtv110.com
 218.5.76.71 www.mtv110.com
 218.5.76.71 mtvtop.net
 218.5.76.71 www.mtvtop.net
 218.5.76.71 mtvtop.com
 218.5.76.71 www.mtvtop.com
 218.5.76.71 xaonline.com
 218.5.76.71 music.xaonline.com
 218.5.76.71 musictea.com
 218.5.76.71 www.musictea.com
 218.5.76.71 tfol.com
 218.5.76.71 www.tfol.com
 218.5.76.71 yyue.com
 218.5.76.71 www.yyue.com
 218.5.76.71 yyue.net
 218.5.76.71 www.yyue.net
 218.5.76.71 qq150.com
 218.5.76.71 www.qq150.com
 218.5.76.71 517tg.com
 218.5.76.71 www.517tg.com
 218.5.76.71 souting.com
 218.5.76.71 www.souting.com
 218.5.76.71 tt67.com
 218.5.76.71 www.tt67.com
 218.5.76.71 tt78.com
 218.5.76.71 www.tt78.com
 218.5.76.71 funmtv.com
 218.5.76.71 www.funmtv.com
 218.5.76.71 gz163.cn
 218.5.76.71 www.gz163.cn
 218.5.76.71 51y.com
 218.5.76.71 www.51y.com
 218.5.76.71 tt90.com
 218.5.76.71 www.tt90.com
 218.5.76.71 cns.3721.com
 218.5.76.71 assistant.3721.com
 218.5.76.71 auto.search.msn.com
 218.5.76.71 so.qq.com
 218.5.76.71 4yt.net
 218.5.76.71 www.4yt.net
 218.5.76.71 qq533.net
 218.5.76.71 www.qq533.net
 

Это приводит к тому, что при обращении к перечисленным серверам, операционная система обнаруживает соответствия в файле hosts и направляет запросы на IP-адрес 218.5.76.71. Троянец не создает никаких файлов на диске.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.