Программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний.
В файл hosts добавлены следующие строки:
127.0.0.1 ad.doubleclick.net 127.0.0.1 ad.fastclick.net 127.0.0.1 ads.fastclick.net 127.0.0.1 ar.atwola.com 127.0.0.1 atdmt.com 127.0.0.1 avp.ch 127.0.0.1 avp.com 127.0.0.1 avp.com 127.0.0.1 avp.ru 127.0.0.1 awaps.net 127.0.0.1 banner.fastclick.net 127.0.0.1 banners.fastclick.net 127.0.0.1 ca.com 127.0.0.1 ca.com 127.0.0.1 click.atdmt.com 127.0.0.1 clicks.atdmt.com 127.0.0.1 customer.symantec.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 dispatch.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.mcafee.com 127.0.0.1 download.microsoft.com 127.0.0.1 downloads.microsoft.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads3.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 downloads-us2.kaspersky-labs.com 127.0.0.1 downloads-us3.kaspersky-labs.com 127.0.0.1 engine.awaps.net 127.0.0.1 fastclick.net 127.0.0.1 f-secure.com 127.0.0.1 f-secure.com 127.0.0.1 ftp.avp.ch 127.0.0.1 ftp.downloads2.kaspersky-labs.com 127.0.0.1 ftp.f-secure.com 127.0.0.1 ftp.kasperskylab.ru 127.0.0.1 ftp.sophos.com 127.0.0.1 go.microsoft.com 127.0.0.1 ids.kaspersky-labs.com 127.0.0.1 kaspersky.com 127.0.0.1 kaspersky-labs.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mast.mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 mcafee.com 127.0.0.1 media.fastclick.net 127.0.0.1 msdn.microsoft.com 127.0.0.1 my-etrust.com 127.0.0.1 my-etrust.com 127.0.0.1 nai.com 127.0.0.1 nai.com 127.0.0.1 networkassociates.com 127.0.0.1 networkassociates.com 127.0.0.1 office.microsoft.com 127.0.0.1 phx.corporate-ir.net 127.0.0.1 rads.mcafee.com 127.0.0.1 secure.nai.com 127.0.0.1 secure.nai.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 securityresponse.symantec.com 127.0.0.1 service1.symantec.com 127.0.0.1 sophos.com 127.0.0.1 sophos.com 127.0.0.1 spd.atdmt.com 127.0.0.1 support.microsoft.com 127.0.0.1 symantec.com 127.0.0.1 symantec.com 127.0.0.1 trendmicro.com 127.0.0.1 update.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 update.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 updates.symantec.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates1.kaspersky-labs.com 127.0.0.1 updates2.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com 127.0.0.1 updates3.kaspersky-labs.com 127.0.0.1 updates4.kaspersky-labs.com 127.0.0.1 updates5.kaspersky-labs.com 127.0.0.1 us.mcafee.com 127.0.0.1 us.mcafee.com 127.0.0.1 vil.nai.com 127.0.0.1 viruslist.com 127.0.0.1 viruslist.ru 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.avp.ch 127.0.0.1 www.avp.com 127.0.0.1 www.avp.com 127.0.0.1 www.avp.ru 127.0.0.1 www.awaps.net 127.0.0.1 www.ca.com 127.0.0.1 www.ca.com 127.0.0.1 www.fastclick.net 127.0.0.1 www.f-secure.com 127.0.0.1 www.f-secure.com 127.0.0.1 www.grisoft.com 127.0.0.1 www.kaspersky.com 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.kaspersky.ru 127.0.0.1 www.kaspersky-labs.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.mcafee.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.my-etrust.com 127.0.0.1 www.nai.com 127.0.0.1 www.nai.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.networkassociates.com 127.0.0.1 www.sophos.com 127.0.0.1 www.sophos.com 127.0.0.1 www.symantec.com 127.0.0.1 www.symantec.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.trendmicro.com 127.0.0.1 www.viruslist.com 127.0.0.1 www.viruslist.ru 127.0.0.1 www3.ca.com
Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой троянской программы.
