Trojan.Win32. Qhost.hl
Trojan.Win32. Qhost.hl
Alexander Antipov
Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса
Троянская программа представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 2189 байт.
Файл модифицирован таким образом, чтобы заблокировать обращения пользователя к некоторым сайтам (большинство из которых — сайты антивирусных компаний и сервера с обновлениями антивирусных баз).
В файл hosts добавлены следующие строки:
10.0.0.5 avp.com 10.0.0.5 kaspersky.com 10.0.0.5 kaspersky-labs.com 10.0.0.5 updates1.kaspersky.com 10.0.0.5 updates2.kaspersky.com 10.0.0.5 updates3.kaspersky.com 10.0.0.5 updates-us1.kaspersky.com 10.0.0.5 downloads1.kaspersky.com 10.0.0.5 downloads-us1.kaspersky.com 10.0.0.5 www.avp.com 10.0.0.5 www.kaspersky.com 10.0.0.5 d-ru-1f.kaspersky-labs.com 10.0.0.5 d-ru-1h.kaspersky-labs.com 10.0.0.5 d-ru-2f.kaspersky-labs.com 10.0.0.5 d-ru-2h.kaspersky-labs.com 10.0.0.5 d-eu-2f.kaspersky-labs.com 10.0.0.5 d-eu-2h.kaspersky-labs.com 10.0.0.5 d-eu-1f.kaspersky-labs.com 10.0.0.5 d-eu-1h.kaspersky-labs.com 10.0.0.5 d-us-1f.kaspersky-labs.com 10.0.0.5 d-us-1h.kaspersky-labs.com 10.0.0.5 downloads1.kaspersky.ru 10.0.0.5 downloads2.kaspersky.ru 10.0.0.5 downloads3.kaspersky.ru 10.0.0.5 downloads4.kaspersky.ru 10.0.0.5 downloads5.kaspersky.ru 10.0.0.5 eset.com 10.0.0.5 www.eset.com 10.0.0.5 u2.eset.com 10.0.0.5 u3.eset.com 10.0.0.5 u4.eset.com 10.0.0.5 u7.eset.com 10.0.0.5 82.165.250.33 10.0.0.5 82.165.237.14 10.0.0.5 www.nod32.com 10.0.0.5 nod32.com 10.0.0.5 eset.casablanca.cz 10.0.0.5 casablanca.cz 10.0.0.5 customer.symantec.com 10.0.0.5 liveupdate.symantec.com 10.0.0.5 liveupdate.symantecliveupdate.com 10.0.0.5 securityresponse.symantec.com 10.0.0.5 symantec.com 10.0.0.5 update.symantec.com 10.0.0.5 updates.symantec.com 10.0.0.5 www.symantec.com 10.0.0.5 www.norton.com 10.0.0.5 norton.com 10.0.0.5 mast.mcafee.com 10.0.0.5 mcafee.com 10.0.0.5 rads.mcafee.com 10.0.0.5 www.mcafee.com 10.0.0.5 mcafee.com 10.0.0.5 us.mcafee.com 10.0.0.5 dispatch.mcafee.com 10.0.0.5 download.mcafee.com 10.0.0.5 metalhead2005.info 10.0.0.5 my-etrust.com 10.0.0.5 nai.com 10.0.0.5 networkassociates.com 10.0.0.5 secure.nai.com 10.0.0.5 sophos.com 10.0.0.5 trendmicro.com 10.0.0.5 viruslist.com 10.0.0.5 viruslist.com 10.0.0.5 www.ca.com 10.0.0.5 www.f-secure.com 10.0.0.5 www.microsoft.com 10.0.0.5 www.my-etrust.com 10.0.0.5 www.nai.com 10.0.0.5 www.networkassociates.com 10.0.0.5 www.sophos.com 10.0.0.5 www.trendmicro.com 10.0.0.5 www.viruslist.com 10.0.0.5 ca.com 10.0.0.5 d66.myleftnut.info 10.0.0.5 f-secure.com
Таким образом, все запросы к данным серверам будут заблокированы.
Все это — результат деятельности другой вредоносной программы.