Троянская программа, предназначенная для изменения соответствий доменных имен IP-адресам.
Деструктивная активность
Троянец модифицирует системный файл ОС Windows «%System%\drivers\etc\hosts», который используется для перевода доменных имен (DNS) в IP-адреса, путем добавления в него следующих строк:
127.0.0.1 http://downloads4.kaspersky-labs.com 127.0.0.1 http://downloads3.kaspersky-labs.com 127.0.0.1 http://downloads2.kaspersky-labs.com 127.0.0.1 http://downloads1.kaspersky-labs.com 127.0.0.1 ftp://downloads4.kaspersky-labs.com 127.0.0.1 ftp://downloads3.kaspersky-labs.com 127.0.0.1 ftp://downloads2.kaspersky-labs.com 127.0.0.1 ftp://downloads1.kaspersky-labs.com 127.0.0.1 downloads-us1.kaspersky-labs.com 127.0.0.1 rads.mcafee.com 127.0.0.1 http://www.secuser.com 127.0.0.1 a188.x.akamai.net 127.0.0.1 liveupdate.symantecliveupdate.com 127.0.0.1 liveupdate.symantec.com 127.0.0.1 liveupdate.symantec.d4p.net 127.0.0.1 update.symantec.com 127.0.0.1 ftp.nai.com 127.0.0.1 www.grisoft.cz 127.0.0.1 www.grisoft.com 127.0.0.1 free.grisoft.cz 127.0.0.1 tds.diamondcs.com.au 127.0.0.1 ieupdate.gdata.de 127.0.0.1 ieupdate6.gdata.de 127.0.0.1 ieupdate5.gdata.de 127.0.0.1 ieupdate4.gdata.de 127.0.0.1 ieupdate3.gdata.de 127.0.0.1 ieupdate2.gdata.de 127.0.0.1 ieupdate1.gdata.de 127.0.0.1 www.iavs.cz 127.0.0.1 download7.avast.com 127.0.0.1 download6.avast.com 127.0.0.1 download5.avast.com 127.0.0.1 download4.avast.com 127.0.0.1 download3.avast.com 127.0.0.1 download2.avast.com 127.0.0.1 download1.avast.com 127.0.0.1 upgrade.bitdefender.com 127.0.0.1 windowsupdate.microsoft.com 127.0.0.1 www.lavasoftusa.com 127.0.0.1 www.a-2.org 127.0.0.1 updates.a-2.org 127.0.0.1 niuone.norman.no 127.0.0.1 www.diamondcs.com.au 127.0.0.1 www.attechnical.com 127.0.0.1 www.zeylstra.nl 127.0.0.1 fractus.mat.uson.mx 127.0.0.1 www.toonbox.de 127.0.0.1 radius.turvamies.com 127.0.0.1 diamondcs.fileburst.com 127.0.0.1 downloads.My-eTrust.com 127.0.0.1 acs.pandasoftware.com 127.0.0.1 v4.windowsupdate.microsoft.com 127.0.0.1 www.NoAdware.net 127.0.0.1 www.nod32.com 127.0.0.1 www.eset.sk 127.0.0.1 avu.zonelabs.com 127.0.0.1 retail.sp.f-secure.com 127.0.0.1 retail01.sp.f-secure.com 127.0.0.1 retail02.sp.f-secure.com 127.0.0.1 www.moosoft.com 127.0.0.1 secuser.model-fx.com 127.0.0.1 secuser.com 127.0.0.1 downloads-eu1.kaspersky-labs.com 127.0.0.1 downloads2.kaspersky-labs.com 127.0.0.1 downloads4.kaspersky-labs.com 127.0.0.1 downloads1.kaspersky-labs.com 127.0.0.1 pccreg.antivirus.com 127.0.0.1 dl1.antivir.de 127.0.0.1 dl2.antivir.de 127.0.0.1 dl3.antivir.de 127.0.0.1 dl4.antivir.de
Подобная модификация системного файла «%System%\drivers\etc\hosts» приводит к невозможности обращения к ресурсам данных доменных имен.