Trojan.Win32. Qhost.lg
Trojan.Win32. Qhost.lg
Alexander Antipov
Троянская программа представляет собой модифицированный файл ОС Windows «%System%\drivers\etc\hosts»
Троянская программа представляет собой модифицированный файл ОС Windows «%System%\drivers\etc\hosts», который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 1978 байт. Файл изменен таким образом, чтобы заблокировать обращения пользователя к определенным сайтам. Это достигается путем добавления в файл «hosts» следующих строк:
127.0.0.1 qq.com
127.0.0.1 baidu.com
127.0.0.1 www.qq.com
127.0.0.1 www.baidu.com
127.0.0.1 www.google.com
127.0.0.1 www.google.cn
127.0.0.1 www.google.com.cn
127.0.0.1 google.com
127.0.0.1 google.cn
127.0.0.1 sina.com.cn
127.0.0.1 2dai.com
127.0.0.1 bbs.2dai.com
127.0.0.1 qq.com
127.0.0.1 post.baidu.com
127.0.0.1 post-js.baidu.com
127.0.0.1 163.com
127.0.0.1 mail.163.com
127.0.0.1 sohu.com
127.0.0.1 sina.com
127.0.0.1 jiangmin.com
127.0.0.1 rising.cn
127.0.0.1 yahoo.com
127.0.0.1 microsoft.com
127.0.0.1 news.cn
127.0.0.1 disk.qq.com
127.0.0.1 bokee.com
127.0.0.1 blog.cn
127.0.0.1 mail.qq.com
127.0.0.1 im.qq.com
127.0.0.1 safe.qq.com
127.0.0.1 it.rising.com.cn
127.0.0.1 qq.com
127.0.0.1 qq.com
127.0.0.1 mop.cn
127.0.0.1 mop.com.cn
127.0.0.1 mop.com
127.0.0.1 kingsoft.com
127.0.0.1 update.microsoft.com
127.0.0.1 live.com
127.0.0.1 live.cn
127.0.0.1 gov.cn
127.0.0.1 china.com
127.0.0.1 cctv.com
127.0.0.1 symantec.com
127.0.0.1 symantec.com.cn
127.0.0.1 sina.cn
127.0.0.1 bbs.2dai.com
127.0.0.1 janmeng.com
127.0.0.1 hao123.com
127.0.0.1 wu123.com
Таким образом, все запросы к данным серверам блокируются.
Все это — результат деятельности другой вредоносной программы.