Trojan-Banker.Win32. Qhost.rv

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (RAR SFX-файл).

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (RAR SFX-файл). Имеет размер 93463 байта. Написана на C++.


Деструктивная активность

После запуска троянец извлекает из своего тела файл, которым переписывает оригинальный файл "hosts"

%System%\drivers\etc\hosts
Данный файл имеет размер 2324 байта и детектируется Антивирусом Касперского как Trojan-Banker.Win32.Qhost.rv.

Извлеченный файл содержит следующие строки:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost


74.***.60 santander.cl
74.***.60 www.santander.cl
74.***.60 www.bancosantander.cl
74.***.60 bancosantander.cl
74.***.60 www.banefe.cl
74.***.60 banefe.cl
74.***.60 www.santandersantiago.cl
74.***.60 santandersantiago.cl
74.***.60 bbva.cl
74.***.60 www.bbva.cl
74.***.60 bbvanet.cl
74.***.60 www.bbvanet.cl
Измененный файл "hosts" позволяет злоумышленнику перенаправлять обращения по указанным URL адресам, на заданный IP адрес.