Trojan-Banker.Win32. Qhost.ez

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 49152 байта. Написана на Visual Basic.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"GoogleUpdate"="<путь_к_оригинальному_телу_троянца>"

Деструктивная активность

После запуска троянец выполняет следующие действия:

  • Каждые 50 мс троянец осуществляет поиск и скрытие окна с именем:
    avenger - Bloco de notas
  • Каждые 50 секунд троянец выполняет загрузку файла со следующего URL:
    http://dh***iku.com/images/atual.txt
    http://dh***iku.com/images/atual.gif
    
    На момент создания описания ссылки не работали.

    В случае успешной загрузки файлов, сохраняет из в своем рабочем каталоге под именами:

    %WorkDir%\atual.txt
    %WorkDir%\atual.exe
    
    После чего запускает файл "atual.exe" на выполнение.
  • Каждые 500 мс троянец производит перезапись файла:
    %System%\drivers\etc\hosts
    Следующим содержимым:
    visanet.com.br
    199.***.166# SpyBo t  search and Destroy
    199.***.166 www.visanet.com.br
    199.***.166 www.bancoreal.com.br
    199.***.166 real.com.br
    199.***.166 www.real.com.br
    199.***.166 www.itau.com.br
    199.***.166 itau.com.br
    199.***.166 www.itaupersonnalite.com.br
    199.***.166 itaupersonnalite.com.br
    199.***.166 www.itauprivatebank.com.br
    199.***.166 itauprivatebank.com.br
    199.***.166 www.bb.com.br
    199.***.166 bb.com.br
    199.***.166 www.bb.gov.br
    199.***.166 bb.gov.br
    199.***.166 bradesco.com.br
    199.***.166 www.bradesco.com.br
    199.***.166 www.bradescoprime.com.br
    199.***.166 bradescoprime.com.br
    199.***.166 bradescojuridico.com.br
    199.***.166 www.checktudo.com.br
    199.***.166 checktudo.com.br
    199.***.166 www.infoseg.gov.br
    199.***.166 infoseg.gov.br
    199.***.166 www.bradescojuridico.com.br
    199.***.166 santander.com.br
    199.***.166 www.santander.com.br
    199.***.166 banespa.com.br
    199.***.166 www.nossacaixa.com.br
    199.***.166 nossacaixa.com.br
    199.***.166 www.unibanco.com.br
    199.***.166 unibanco.com.br
    199.***.166 www.banespa.com.br
    199.***.166 www.itauprivatebank.com.br
    199.***.166 itauprivatebank.com.br
    199.***.166 cetelem.com.br
    199.***.166 www.cetelem.com.br
    199.***.166 citibank.com.br
    199.***.166 www.citibank.com.br
    199.***.166 www.cartaobndes.gov.br
    199.***.166 cartaobndes.gov.br
    
    что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.