Trojan.Win32.Qhost.lzv

Троянская программа, выполняющая деструктивные действия на компьютере пользователя.

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 65536 байт. Написана на Visual Basic.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "GoogleUpdate"="\<имя вредоноса>"

Деструктивная активность

После запуска троянец удаляет файл:

c:\avenger.txt
Затем модифицирует файл:
c:\windows\system32\drivers\etc\hosts
В который записывает следующие данные:
199.238.140.108 visanet.com.br  199.238.140.108 www.visanet.com.br  199.238.140.108 www.openbank.es  199.238.140.108 openbank.es  199.238.140.108 www.lacaixa.es  199.238.140.108 lacaixa.es  199.238.140.108 www.bancoreal.com.br  199.238.140.108 www.real.com.br  199.238.140.108 www.real.com.br  199.238.140.108 www.itau.com.br  199.238.140.108 itau.com.br  199.238.140.108 www.itaupersonnalite.com.br  199.238.140.108 itaupersonnalite.com.br  199.238.140.108 www.itauprivatebank.com.br  199.238.140.108 itauprivatebank.com.br  199.238.140.108 www.bb.com.br  199.238.140.108 bb.com.br  199.238.140.108 www.bb.gov.br  199.238.140.108 bb.gov.br  199.238.140.108 bradesco.com.br  199.238.140.108 www.bradesco.com.br  199.238.140.108 www.bradescoprime.com.br  199.238.140.108 bradescoprime.com.br  199.238.140.108 bradescojuridico.com.br  199.238.140.108 www.checktudo.com.br  199.238.140.108 checktudo.com.br  199.238.140.108 www.infoseg.gov.br  199.238.140.108 infoseg.gov.br  199.238.140.108 www.real.com.br  199.238.140.108 real.com.br  199.238.140.108 www.bradescojuridico.com.br  199.238.140.108 santander.com.br  199.238.140.108 www.santander.com.br  199.238.140.108 banespa.com.br  199.238.140.108 www.nossacaixa.com.br  199.238.140.108 nossacaixa.com.br  199.238.140.108 www.unibanco.com.br  199.238.140.108 unibanco.com.br  199.238.140.108 www.banespa.com.br  199.238.140.108 banespa.com.br  199.238.140.108 www.itauprivatebank.com.br  199.238.140.108 itauprivatebank.com.br  199.238.140.108 caixacatalunya.es  199.238.140.108 www.caixacatalunya.es  199.238.140.108 banesto.es  199.238.140.108 www.banesto.es  199.238.140.108 www.cajamadrid.es  199.238.140.108 cajamadrid.es  199.238.140.108 www.bbva.es  199.238.140.108 bbva.es  199.238.140.108 serasa.com.br  199.238.140.108 www.serasa.com.br  199.238.140.108 www.cam.es  199.238.140.108 cam.es    199.238.140.108 portal.lacaixa.es  199.238.140.108 www.banespa.com.br  199.238.140.108 www.caixa.com.br  199.238.140.108 caixa.com.br  199.238.140.108 www.caixaeconomicafederal.com.br  199.238.140.108 caixaeconomicafederal.com.br  199.238.140.108 www.cef.com.br  199.238.140.108 cef.com.br  199.238.140.108 www.caixa.gov.br  199.238.140.108 caixa.gov.br  199.238.140.108 www.caixaeconomica.com.br  199.238.140.108 caixaeconomica.com.br  199.238.140.108 www.caixaeconomica.gov.br  199.238.140.108 caixaeconomica.gov.br  199.238.140.108 www.cef.gov.br  199.238.140.108 www.caixaeconomicafederal.gov.br  199.238.140.108 caixaeconomicafederal.gov.br  199.238.140.108 cetelem.com.br  199.238.140.108 www.cetelem.com.br  199.238.140.108 citibank.com.br  199.238.140.108 www.citibank.com.br  199.238.140.108 www.pagamentodigital.com.br  199.238.140.108 pagamentodigital.com.br  199.238.140.108 www.cartaobndes.gov.br  199.238.140.108 cartaobndes.gov.br  199.238.140.108 americanas.com.br  199.238.140.108 www.americanas.com.br  199.238.140.108 americanas.com  199.238.140.108 www.americanas.com  
Далее троянец загружает файлы со следующих URL адресов:
http://www.paviperfil.pt/images/atual.txt  http://www.paviperfil.pt/images/atual4.gif  
На момент создания описания ссылки не работали.

Загруженные файлы троянец сохраняет под следующими именами:

<WorkDir>\atual.txt  <WorkDir>\atual.exe  
После этого троянец запускает на выполнение файл "atual.exe".

Также троянец скрывает окно с заголовком:

avenger - Bloco de notas

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

  1. При помощи Диспетчера задач завершить вредоносный процесс.
  2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
  3. Удалить параметр системного реестра:
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]  "GoogleUpdate"="<WorkDir>\<имя вредоноса>"  
  4. Восстановить оригинальное содержимое файла:
    c:\windows\system32\drivers\etc\hosts
    которое по умолчанию имеет следующий вид:
    # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999  #  # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.  #  # Этот файл содержит сопоставления IP-адресов именам узлов.  # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен  # находиться в первом столбце, за ним должно следовать соответствующее имя.  # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.  #  # Кроме того, в некоторых строках могут быть вставлены комментарии   # (такие, как эта строка), они должны следовать за именем узла и отделяться  # от него символом '#'.  #  # Например:  #  #      102.54.94.97     rhino.acme.com          # исходный сервер  #       38.25.63.10     x.acme.com              # узел клиента x    127.0.0.1       localhost  
  5. Удалить файлы:
    <WorkDir>\atual.txt  <WorkDir>\atual.exe