Trojan.Win32. Qhost.nrg

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Упакована при помощи UPX. Распакованный размер – около 145 КБ. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец создает копию файла:

%System%\drivers\etc\hosts
в системном каталоге Windows под именем:
%System%\hosts
После чего дописывает в конец оригинального файла следующие строки:
62.***.99   ag.ru
 62.***.99   www.ag.ru
 62.***.99   ask.com
 62.***.99   www.ask.com
 62.***.99   auto.ru
 62.***.99   www.auto.ru
 62.***.99   avito.ru
 62.***.99   www.avito.ru
 62.***.99   bing.com
 62.***.99   www.bing.com
 62.***.99   blogger.com
 62.***.99   www.blogger.com
 62.***.99   championat.ru
 62.***.99   www.championat.ru
 62.***.99   community.livejournal.com
 62.***.99   www.community.livejournal.com
 62.***.99   depositfiles.com
 62.***.99   www.depositfiles.com
 62.***.99   diary.ru
 62.***.99   www.diary.ru
 62.***.99   drweb.com
 62.***.99   www.drweb.com
 62.***.99   en.wikipedia.org
 62.***.99   www.en.wikipedia.org
 62.***.99   esetnod32.ru
 62.***.99   www.esetnod32.ru
 62.***.99   facebook.com
 62.***.99   www.facebook.com
 62.***.99   fastpic.ru
 62.***.99   www.fastpic.ru
 62.***.99   fishki.net
 62.***.99   www.fishki.net
 62.***.99   games.rambler.ru
 62.***.99   www.games.rambler.ru
 62.***.99   gazeta.ru
 62.***.99   www.gazeta.ru
 62.***.99   gismeteo.ru
 62.***.99   www.gismeteo.ru
 62.***.99   google.com
 62.***.99   www.google.com
 62.***.99   google.ru
 62.***.99   www.google.ru
 62.***.99   habrahabr.ru
 62.***.99   www.habrahabr.ru
 62.***.99   hh.ru
 62.***.99   www.hh.ru
 62.***.99   ifolder.ru
 62.***.99   www.ifolder.ru
 62.***.99   kaspersky.ru
 62.***.99   www.kaspersky.ru
 62.***.99   kinopoisk.ru
 62.***.99   www.kinopoisk.ru
 62.***.99   kinozal.tv
 62.***.99   www.kinozal.tv
 62.***.99   kp.ru
 62.***.99   www.kp.ru
 62.***.99   lenta.ru
 62.***.99   www.lenta.ru
 62.***.99   letitbit.net
 62.***.99   www.letitbit.net
 62.***.99   live.com
 62.***.99   www.live.com
 62.***.99   liveinternet.ru
 62.***.99   www.liveinternet.ru
 62.***.99   livejournal.com
 62.***.99   www.livejournal.com
 62.***.99   loveplanet.ru
 62.***.99   www.loveplanet.ru
 62.***.99   love.rambler.ru
 62.***.99   www.love.rambler.ru
 62.***.99   mail.rambler.ru
 62.***.99   www.mail.rambler.ru
 62.***.99   mamba.ru
 62.***.99   www.mamba.ru
 62.***.99   marketgid.com
 62.***.99   www.marketgid.com
 62.***.99   mirtesen.ru
 62.***.99   www.mirtesen.ru
 62.***.99   mozilla.com
 62.***.99   newsru.com
 62.***.99   www.newsru.com
 62.***.99   nova.rambler.ru
 62.***.99   www.nova.rambler.ru
 62.***.99   odnoklasniki.ru
 
62.***.99   www.odnoklasniki.ru
 62.***.99   odnoklassniki.ru
 62.***.99   www.odnoklassniki.ru
 62.***.99   ozon.ru
 62.***.99   www.ozon.ru
 62.***.99   playground.ru
 62.***.99   www.playground.ru
 62.***.99   pornolab.net
 62.***.99   www.pornolab.net
 62.***.99   privet.ru
 62.***.99   www.privet.ru
 62.***.99   qip.ru
 62.***.99   www.qip.ru
 62.***.99   radikal.ru
 62.***.99   www.radikal.ru
 62.***.99   rambler.ru
 62.***.99   www.rambler.ru
 62.***.99   rapidshare.com
 62.***.99   www.rapidshare.com
 62.***.99   rbc.ru
 62.***.99   www.rbc.ru
 62.***.99   rian.ru
 62.***.99   www.rian.ru
 62.***.99   rutracker.org
 62.***.99   www.rutracker.org
 62.***.99   rutube.ru
 62.***.99   www.rutube.ru
 62.***.99   ru.wikipedia.org
 62.***.99   www.ru.wikipedia.org
 62.***.99   smscost.ru
 62.***.99   www.smscost.ru
 62.***.99   sms-price.ru
 62.***.99   www.sms-price.ru
 62.***.99   tfile.ru
 62.***.99   www.tfile.ru
 62.***.99   torrentdownloads.net
 62.***.99   www.torrentdownloads.net
 62.***.99   turbobit.net
 62.***.99   www.turbobit.net
 62.***.99   twitter.com
 62.***.99   www.twitter.com
 62.***.99   vesti.ru
 62.***.99   www.vesti.ru
 62.***.99   vip-file.com
 62.***.99   www.vip-file.com
 62.***.99   vk.com
 62.***.99   www.vk.com
 62.***.99   vkontakte.ru
 62.***.99   www.vkontakte.ru
 62.***.99   wordpress.com
 62.***.99   www.wordpress.com
 62.***.99   yahoo.com
 62.***.99   www.yahoo.com
 62.***.99   yandex.net
 62.***.99   www.yandex.net
 62.***.99   yandex.ru
 62.***.99   www.yandex.ru
 62.***.99   ya.ru
 62.***.99   www.ya.ru
 62.***.99   youtube.com
 62.***.99   www.youtube.com
 62.***.99   zaycev.net
 62.***.99   www.zaycev.net
 62.***.99   kav.ru
 62.***.99   www.kav.ru
 62.***.99   kaspersky.ru
 62.***.99   www.kaspersky.ru
 62.***.99   esetnod32.ru
 62.***.99   www.esetnod32.ru
 62.***.99   eset.com
 62.***.99   www.eset.com
 62.***.99   drweb.com
 62.***.99   www.drweb.com
 62.***.99   freedrweb.com
 62.***.99   www.freedrweb.com
 62.***.99   download.drweb.com
 62.***.99   www.download.drweb.com
 62.***.99   free-av.com
 62.***.99   www.free-av.com
 62.***.99   symantec.com
 62.***.99   www.symantec.com
 62.***.99   pandasecurity.com
 62.***.99   www.pandasecurity.com
 
что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

После этого троянец завершает свою работу.