Security Lab

Trojan.Win32.Qhost.bs

Trojan.Win32.Qhost.bs

Программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса.

Trojan.Win32.Qhost.bs («Лаборатория Касперского») также известен как: QHosts-1!hosts (McAfee), TR/NoAvHost.A (H+BEDV), Trojan.Qhost.BS (SOFTWIN), Trojan.Qhost.V (ClamAV), Trj/Qhost.AF (Panda), Win32/Qhosts (Eset)

Программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Файл модифицирован таким образом, чтобы сделать недоступным пользователю сервера различных антивирусных компаний.

В файл hosts добавлены следующие строки:

  
  127.0.0.1 ad.doubleclick.net
  127.0.0.1 ad.fastclick.net
  127.0.0.1 ads.fastclick.net
  127.0.0.1 ar.atwola.com
  127.0.0.1 atdmt.com
  127.0.0.1 avp.ch
  127.0.0.1 avp.com
  127.0.0.1 avp.com
  127.0.0.1 avp.ru
  127.0.0.1 awaps.net
  127.0.0.1 banner.fastclick.net
  127.0.0.1 banners.fastclick.net
  127.0.0.1 ca.com
  127.0.0.1 ca.com
  127.0.0.1 click.atdmt.com
  127.0.0.1 clicks.atdmt.com
  127.0.0.1 customer.symantec.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 dispatch.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.mcafee.com
  127.0.0.1 download.microsoft.com
  127.0.0.1 downloads.microsoft.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 downloads2.kaspersky-labs.com
  127.0.0.1 downloads3.kaspersky-labs.com
  127.0.0.1 downloads4.kaspersky-labs.com
  127.0.0.1 downloads-us1.kaspersky-labs.com
  127.0.0.1 downloads-us2.kaspersky-labs.com
  127.0.0.1 downloads-us3.kaspersky-labs.com
  127.0.0.1 engine.awaps.net
  127.0.0.1 fastclick.net
  127.0.0.1 f-secure.com
  127.0.0.1 f-secure.com
  127.0.0.1 ftp.avp.ch
  127.0.0.1 ftp.downloads2.kaspersky-labs.com
  127.0.0.1 ftp.f-secure.com
  127.0.0.1 ftp.kasperskylab.ru
  127.0.0.1 ftp.sophos.com
  127.0.0.1 go.microsoft.com
  127.0.0.1 ids.kaspersky-labs.com
  127.0.0.1 kaspersky.com
  127.0.0.1 kaspersky-labs.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mast.mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 mcafee.com
  127.0.0.1 media.fastclick.net
  127.0.0.1 msdn.microsoft.com
  127.0.0.1 my-etrust.com
  127.0.0.1 my-etrust.com
  127.0.0.1 nai.com
  127.0.0.1 nai.com
  127.0.0.1 networkassociates.com
  127.0.0.1 networkassociates.com
  127.0.0.1 office.microsoft.com
  127.0.0.1 phx.corporate-ir.net
  127.0.0.1 rads.mcafee.com
  127.0.0.1 secure.nai.com
  127.0.0.1 secure.nai.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 securityresponse.symantec.com
  127.0.0.1 service1.symantec.com
  127.0.0.1 sophos.com
  127.0.0.1 sophos.com
  127.0.0.1 spd.atdmt.com
  127.0.0.1 support.microsoft.com
  127.0.0.1 symantec.com
  127.0.0.1 symantec.com
  127.0.0.1 trendmicro.com
  127.0.0.1 update.symantec.com
  127.0.0.1 update.symantec.com
  127.0.0.1 update.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 updates.symantec.com
  127.0.0.1 updates1.kaspersky-labs.com
  127.0.0.1 updates1.kaspersky-labs.com
  127.0.0.1 updates2.kaspersky-labs.com
  127.0.0.1 updates3.kaspersky-labs.com
  127.0.0.1 updates3.kaspersky-labs.com
  127.0.0.1 updates4.kaspersky-labs.com
  127.0.0.1 updates5.kaspersky-labs.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 us.mcafee.com
  127.0.0.1 vil.nai.com
  127.0.0.1 viruslist.com
  127.0.0.1 viruslist.ru
  127.0.0.1 windowsupdate.microsoft.com
  127.0.0.1 www.avp.ch
  127.0.0.1 www.avp.com
  127.0.0.1 www.avp.com
  127.0.0.1 www.avp.ru
  127.0.0.1 www.awaps.net
  127.0.0.1 www.ca.com
  127.0.0.1 www.ca.com
  127.0.0.1 www.fastclick.net
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.f-secure.com
  127.0.0.1 www.grisoft.com
  127.0.0.1 www.kaspersky.com
  127.0.0.1 www.kaspersky.ru
  127.0.0.1 www.kaspersky.ru
  127.0.0.1 www.kaspersky-labs.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.mcafee.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.my-etrust.com
  127.0.0.1 www.nai.com
  127.0.0.1 www.nai.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 www.networkassociates.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.sophos.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.symantec.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.trendmicro.com
  127.0.0.1 www.viruslist.com
  127.0.0.1 www.viruslist.ru
  127.0.0.1 www3.ca.com 

Таким образом, все запросы к данным серверам будут заблокированы.

Все это — результат деятельности другой троянской программы.

Все еще проверяете уязвимости после сборки ПО?

8 июля CICADA8 покажет, как делать это до CI/CD — быстро, чётко, безопасно.

Реклама. 18+. Рекламодатель ООО «АЙТИПИ Сервисы», ИНН 7708719821