Security Lab

Trojan.Win32. Qhost.oyj

Trojan.Win32. Qhost.oyj

Троянская программа, блокирующая доступ к Интернет ресурсам. Является приложением Windows (PE-EXE файл). Имеет размер 233472 байта. Написана на C++.

Троянская программа, блокирующая доступ к Интернет ресурсам. Является приложением Windows (PE-EXE файл). Имеет размер 233472 байта. Написана на C++.


name="doc3">

Деструктивная активность

Данная троянская программа извлекается и запускается на исполнение другой вредоносной программой, детектирующейся антивирусом Касперского как Trojan.Win32.Qhost.oyk.

В зависимости от параметра, с которым был запущен, троянец может выполнять следующие действия:

" data-html="true" data-original-title="LiveJournal" >livejournal.com
yandex.ru
habrahabr.ru
www.livejournal.ru
www.yahoo.com
www.fishki.net
www.yandex.ru
bash.org.ru
www.google.ru
Помимо этого служба препятствует изменению оригинального тела троянца, а также файла "hosts":
%System%\drivers\etc\hosts
Таким образом противодействуя попыткам пользователя или антивирусной программы при восстановлении полноценной работы системы.
  • Если имя параметра было "-stop": Останавливает выполнение службы с именем "srv32".
  • Если имя параметра было "-install": Создает службу с именем "srv32" при этом в реестр добавляется следующая информация:
    [HKLM\SYSTEM\CurrentControlSet\Services\srv32]
    "Type" = "10"
    "Start" = "2"
    "ErrorControl" = "1"
    "ImagePath" = "<путь к оригинальному телу троянца> -
    service"
    "DisplayName"="Network Responder Service"
    "ObjectName"="LocalSystem"
    "Description"="Provides network traffic transformation,
    addressing, name resolution and/or intrusion prevention
    services for a home or small office network."
    Таким образом служба троянца будет запускаться при каждом следующем старте системы.
  • Если имя параметра было "uninstall": Удаляет тело троянца и удаляет службу с именем "srv32".

  • Будьте готовы к цифровой катастрофе - подписывайтесь на наш канал!