Троянская программа, блокирующая доступ к Интернет ресурсам. Является приложением Windows (PE-EXE файл). Имеет размер 233472 байта. Написана на C++.
Троянская программа, блокирующая доступ к Интернет ресурсам. Является приложением Windows (PE-EXE файл). Имеет размер 233472 байта. Написана на C++.
Данная троянская программа извлекается и запускается на исполнение другой вредоносной программой, детектирующейся антивирусом Касперского как Trojan.Win32.Qhost.oyk.
В зависимости от параметра, с которым был запущен, троянец может выполнять следующие действия:
Останавливает работу службы с именем "srv32", после чего запускает на исполнение свое тело с параметром "-start".
Служба предназначена для завершения и блокировки запуска следующих процессов:
ta_skmgr.exeТаким образом троянец блокирует запуск:
Tas_kmgr.exe
regedit.exe
Regedit.exe
rstrui.exe
Rstrui.exe
msconfig.exe
Msconfig.exe
MSConfig.exe
MSCONFIG.EXE
apache.exe
nginx.exe
lighthttpd.exe
Троянец поднимает на зараженной машине веб-сервер. Таким образом при обращении к зараженной машине пользователь увидит следующее окно:
Где предлагается отправить SMS с текстом "503745002411" на короткий номер "6681".
Поскольку троянец, извлекающий данную вредоносную программу, модифицировал файл "hosts":
%System%\drivers\etc\hostsто пользователь также будет видеть окно с предложением отправить SMS при обращении к следующим ресурсам:
vkontakte.com
www.vkontakte.ru
www.odnoklassniki.ru
livejournal.com
yahoo.com
mail.ru
www.yandex.com
facebook.ru
www.rambler.ru
yandex.com
aport.ru
vk.com
www.habrahabr.ru
www.vkontakte.com
www.odnoklassniki.com
www.lj.ru
www.google.com
google.com
facebook.com
bing.com
www.mail.ru
www.vk.com
www.facebook.ru
vkontakte.ru
www.facebook.com
www.bash.org.ru
www.aport.ru
www.bing.com
odnoklassniki.com
rambler.ru
fishki.net
odnoklassniki.ru
www.qip.ru
livejournal.ru
www.– блог-платформа, с помощью, которой пользователям предоставляется возможность ведения онлайн-дневников (блогов), а также отдельного персонального блога, размещенного на этой платформе. Живой Журнал был открыт американским программистом Брэдом Фицпатриком в 1999 году. До конца 2016 года подчинялся американским законам, так как сервера были расположены в США. в настоящее время платформой владеет компания Rambler.
%System%\drivers\etc\hostsТаким образом противодействуя попыткам пользователя или антивирусной программы при восстановлении полноценной работы системы.
[HKLM\SYSTEM\CurrentControlSet\Services\srv32]Таким образом служба троянца будет запускаться при каждом следующем старте системы.
"Type" = "10"
"Start" = "2"
"ErrorControl" = "1"
"ImagePath" = "<путь к оригинальному телу троянца> -
service"
"DisplayName"="Network Responder Service"
"ObjectName"="LocalSystem"
"Description"="Provides network traffic transformation,
addressing, name resolution and/or intrusion prevention
services for a home or small office network."