Trojan.Win32. Qhost.nrg

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Упакована при помощи UPX. Распакованный размер – около 145 КБ. Написана на C++.


Деструктивная активность

После запуска троянец создает копию файла:

%System%\drivers\etc\hosts
в системном каталоге Windows под именем:
%System%\hosts
После чего дописывает в конец оригинального файла следующие строки:
62.***.99   ag.ru
62.***.99   www.ag.ru
62.***.99   ask.com
62.***.99   www.ask.com
62.***.99   auto.ru
62.***.99   www.auto.ru
62.***.99   avito.ru
62.***.99   www.avito.ru
62.***.99   bing.com
62.***.99   www.bing.com
62.***.99   blogger.com
62.***.99   www.blogger.com
62.***.99   championat.ru
62.***.99   www.championat.ru
62.***.99   community.livejournal.com
62.***.99   www.community.livejournal.com
62.***.99   depositfiles.com
62.***.99   www.depositfiles.com
62.***.99   diary.ru
62.***.99   www.diary.ru
62.***.99   drweb.com
62.***.99   www.drweb.com
62.***.99   en.wikipedia.org
62.***.99   www.en.wikipedia.org
62.***.99   esetnod32.ru
62.***.99   www.esetnod32.ru
62.***.99   facebook.com
62.***.99   www.facebook.com
62.***.99   fastpic.ru
62.***.99   www.fastpic.ru
62.***.99   fishki.net
62.***.99   www.fishki.net
62.***.99   games.rambler.ru
62.***.99   www.games.rambler.ru
62.***.99   gazeta.ru
62.***.99   www.gazeta.ru
62.***.99   gismeteo.ru
62.***.99   www.gismeteo.ru
62.***.99   google.com
62.***.99   www.google.com
62.***.99   google.ru
62.***.99   www.google.ru
62.***.99   habrahabr.ru
62.***.99   www.habrahabr.ru
62.***.99   hh.ru
62.***.99   www.hh.ru
62.***.99   ifolder.ru
62.***.99   www.ifolder.ru
62.***.99   kaspersky.ru
62.***.99   www.kaspersky.ru
62.***.99   kinopoisk.ru
62.***.99   www.kinopoisk.ru
62.***.99   kinozal.tv
62.***.99   www.kinozal.tv
62.***.99   kp.ru
62.***.99   www.kp.ru
62.***.99   lenta.ru
62.***.99   www.lenta.ru
62.***.99   letitbit.net
62.***.99   www.letitbit.net
62.***.99   live.com
62.***.99   www.live.com
62.***.99   liveinternet.ru
62.***.99   www.liveinternet.ru
62.***.99   livejournal.com
62.***.99   www.livejournal.com
62.***.99   loveplanet.ru
62.***.99   www.loveplanet.ru
62.***.99   love.rambler.ru
62.***.99   www.love.rambler.ru
62.***.99   mail.rambler.ru
62.***.99   www.mail.rambler.ru
62.***.99   mamba.ru
62.***.99   www.mamba.ru
62.***.99   marketgid.com
62.***.99   www.marketgid.com
62.***.99   mirtesen.ru
62.***.99   www.mirtesen.ru
62.***.99   mozilla.com
62.***.99   newsru.com
62.***.99   www.newsru.com
62.***.99   nova.rambler.ru
62.***.99   www.nova.rambler.ru
62.***.99   odnoklasniki.ru
62.***.99   www.odnoklasniki.ru
62.***.99   odnoklassniki.ru
62.***.99   www.odnoklassniki.ru
62.***.99   ozon.ru
62.***.99   www.ozon.ru
62.***.99   playground.ru
62.***.99   www.playground.ru
62.***.99   pornolab.net
62.***.99   www.pornolab.net
62.***.99   privet.ru
62.***.99   www.privet.ru
62.***.99   qip.ru
62.***.99   www.qip.ru
62.***.99   radikal.ru
62.***.99   www.radikal.ru
62.***.99   rambler.ru
62.***.99   www.rambler.ru
62.***.99   rapidshare.com
62.***.99   www.rapidshare.com
62.***.99   rbc.ru
62.***.99   www.rbc.ru
62.***.99   rian.ru
62.***.99   www.rian.ru
62.***.99   rutracker.org
62.***.99   www.rutracker.org
62.***.99   rutube.ru
62.***.99   www.rutube.ru
62.***.99   ru.wikipedia.org
62.***.99   www.ru.wikipedia.org
62.***.99   smscost.ru
62.***.99   www.smscost.ru
62.***.99   sms-price.ru
62.***.99   www.sms-price.ru
62.***.99   tfile.ru
62.***.99   www.tfile.ru
62.***.99   torrentdownloads.net
62.***.99   www.torrentdownloads.net
62.***.99   turbobit.net
62.***.99   www.turbobit.net
62.***.99   twitter.com
62.***.99   www.twitter.com
62.***.99   vesti.ru
62.***.99   www.vesti.ru
62.***.99   vip-file.com
62.***.99   www.vip-file.com
62.***.99   vk.com
62.***.99   www.vk.com
62.***.99   vkontakte.ru
62.***.99   www.vkontakte.ru
62.***.99   wordpress.com
62.***.99   www.wordpress.com
62.***.99   yahoo.com
62.***.99   www.yahoo.com
62.***.99   yandex.net
62.***.99   www.yandex.net
62.***.99   yandex.ru
62.***.99   www.yandex.ru
62.***.99   ya.ru
62.***.99   www.ya.ru
62.***.99   youtube.com
62.***.99   www.youtube.com
62.***.99   zaycev.net
62.***.99   www.zaycev.net
62.***.99   kav.ru
62.***.99   www.kav.ru
62.***.99   kaspersky.ru
62.***.99   www.kaspersky.ru
62.***.99   esetnod32.ru
62.***.99   www.esetnod32.ru
62.***.99   eset.com
62.***.99   www.eset.com
62.***.99   drweb.com
62.***.99   www.drweb.com
62.***.99   freedrweb.com
62.***.99   www.freedrweb.com
62.***.99   download.drweb.com
62.***.99   www.download.drweb.com
62.***.99   free-av.com
62.***.99   www.free-av.com
62.***.99   symantec.com
62.***.99   www.symantec.com
62.***.99   pandasecurity.com
62.***.99   www.pandasecurity.com
что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

После этого троянец завершает свою работу.