Security Lab

Trojan.Win32. Qhost.b

Trojan.Win32. Qhost.b

Троянская программа, предназначенная для изменения соответствий доменных имен IP-адресам.

Троянская программа, предназначенная для изменения соответствий доменных имен IP-адресам. Является исполняемым файлом Windows (PE EXE-файл). Имеет размер 20585 байт. Написана на Borland Delphi. Упакована FSG. Размер распакованного файла — около 70 Кб.

Деструктивная активность

Троянец модифицирует системный файл ОС Windows «%System%\drivers\etc\hosts», который используется для перевода доменных имен (DNS) в IP-адреса, путем добавления в него следующих строк:

  127.0.0.1 http://downloads4.kaspersky-labs.com
  127.0.0.1 http://downloads3.kaspersky-labs.com
  127.0.0.1 http://downloads2.kaspersky-labs.com
  127.0.0.1 http://downloads1.kaspersky-labs.com
  127.0.0.1 ftp://downloads4.kaspersky-labs.com
  127.0.0.1 ftp://downloads3.kaspersky-labs.com
  127.0.0.1 ftp://downloads2.kaspersky-labs.com
  127.0.0.1 ftp://downloads1.kaspersky-labs.com
  127.0.0.1 downloads-us1.kaspersky-labs.com
  127.0.0.1 rads.mcafee.com
  127.0.0.1 http://www.secuser.com
  127.0.0.1 a188.x.akamai.net
  127.0.0.1 liveupdate.symantecliveupdate.com
  127.0.0.1 liveupdate.symantec.com
  127.0.0.1 liveupdate.symantec.d4p.net
  127.0.0.1 update.symantec.com
  127.0.0.1 ftp.nai.com
  127.0.0.1 www.grisoft.cz
  127.0.0.1 www.grisoft.com
  127.0.0.1 free.grisoft.cz
  127.0.0.1 tds.diamondcs.com.au
  127.0.0.1 ieupdate.gdata.de
  127.0.0.1 ieupdate6.gdata.de
  127.0.0.1 ieupdate5.gdata.de
  127.0.0.1 ieupdate4.gdata.de
  127.0.0.1 ieupdate3.gdata.de
  127.0.0.1 ieupdate2.gdata.de
  127.0.0.1 ieupdate1.gdata.de
  127.0.0.1 www.iavs.cz
  127.0.0.1 download7.avast.com
  127.0.0.1 download6.avast.com
  127.0.0.1 download5.avast.com
  127.0.0.1 download4.avast.com
  127.0.0.1 download3.avast.com
  127.0.0.1 download2.avast.com
  127.0.0.1 download1.avast.com
  127.0.0.1 upgrade.bitdefender.com
  127.0.0.1 windowsupdate.microsoft.com
  127.0.0.1 www.lavasoftusa.com
  127.0.0.1 www.a-2.org
  127.0.0.1 updates.a-2.org
  127.0.0.1 niuone.norman.no
  127.0.0.1 www.diamondcs.com.au
  127.0.0.1 www.attechnical.com
  127.0.0.1 www.zeylstra.nl
  127.0.0.1 fractus.mat.uson.mx
  127.0.0.1 www.toonbox.de
  127.0.0.1 radius.turvamies.com
  127.0.0.1 diamondcs.fileburst.com
  127.0.0.1 downloads.My-eTrust.com
  127.0.0.1 acs.pandasoftware.com
  127.0.0.1 v4.windowsupdate.microsoft.com
  127.0.0.1 www.NoAdware.net
  127.0.0.1 www.nod32.com
  127.0.0.1 www.eset.sk
  127.0.0.1 avu.zonelabs.com
  127.0.0.1 retail.sp.f-secure.com
  127.0.0.1 retail01.sp.f-secure.com
  127.0.0.1 retail02.sp.f-secure.com
  127.0.0.1 www.moosoft.com
  127.0.0.1 secuser.model-fx.com
  127.0.0.1 secuser.com
  127.0.0.1 downloads-eu1.kaspersky-labs.com
  127.0.0.1 downloads2.kaspersky-labs.com
  127.0.0.1 downloads4.kaspersky-labs.com
  127.0.0.1 downloads1.kaspersky-labs.com
  127.0.0.1 pccreg.antivirus.com
  127.0.0.1 dl1.antivir.de
  127.0.0.1 dl2.antivir.de
  127.0.0.1 dl3.antivir.de
  127.0.0.1 dl4.antivir.de

Подобная модификация системного файла «%System%\drivers\etc\hosts» приводит к невозможности обращения к ресурсам данных доменных имен.

Кто тянет ниточки вашего скролла — и почему пора их перерезать?

Короткий разбор того, как алгоритмы Instagram строят для нас цифровые тюрьмы: почему каждый лайк стягивает стены пузыря, как это меняет нейронные связи и где заканчивается персонализация, превращаясь в уязвимость.