Trojan.Win32. Qhost.nrg

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (-PE EXE-файл)-.

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Упакована при помощи UPX. Распакованный размер - около 145 КБ. Написана на C++.


name="doc3">

Деструктивная активность

После запуска троянец создает копию файла:

%System%\drivers\etc\hosts
в системном каталоге Windows под именем:
%System%\hosts
После чего дописывает в конец оригинального файла следующие строки:
62.***.99   ag.ru62.***.99   www.ag.ru62.***.99   ask.com62.***.99   www.ask.com62.***.99   auto.ru62.***.99   www.auto.ru62.***.99   avito.ru62.***.99   www.avito.ru62.***.99   bing.com62.***.99   www.bing.com62.***.99   blogger.com62.***.99   www.blogger.com62.***.99   championat.ru62.***.99   www.championat.ru62.***.99   community.livejournal.com62.***.99   www.community.livejournal.com62.***.99   depositfiles.com62.***.99   www.depositfiles.com62.***.99   diary.ru62.***.99   www.diary.ru62.***.99   drweb.com62.***.99   www.drweb.com62.***.99   en.wikipedia.org62.***.99   www.en.wikipedia.org62.***.99   esetnod32.ru62.***.99   www.esetnod32.ru62.***.99   facebook.com62.***.99   www.facebook.com62.***.99   fastpic.ru62.***.99   www.fastpic.ru62.***.99   fishki.net62.***.99   www.fishki.net62.***.99   games.rambler.ru62.***.99   www.games.rambler.ru62.***.99   gazeta.ru62.***.99   www.gazeta.ru62.***.99   gismeteo.ru62.***.99   www.gismeteo.ru62.***.99   google.com62.***.99   www.google.com62.***.99   google.ru62.***.99   www.google.ru62.***.99   habrahabr.ru62.***.99   www.habrahabr.ru62.***.99   hh.ru62.***.99   www.hh.ru62.***.99   ifolder.ru62.***.99   www.ifolder.ru62.***.99   kaspersky.ru62.***.99   www.kaspersky.ru62.***.99   kinopoisk.ru62.***.99   www.kinopoisk.ru62.***.99   kinozal.tv62.***.99   www.kinozal.tv62.***.99   kp.ru62.***.99   www.kp.ru62.***.99   lenta.ru62.***.99   www.lenta.ru62.***.99   letitbit.net62.***.99   www.letitbit.net62.***.99   live.com62.***.99   www.live.com62.***.99   liveinternet.ru62.***.99   www.liveinternet.ru62.***.99   livejournal.com62.***.99   www.livejournal.com62.***.99   loveplanet.ru62.***.99   www.loveplanet.ru62.***.99   love.rambler.ru62.***.99   www.love.rambler.ru62.***.99   mail.rambler.ru62.***.99   www.mail.rambler.ru62.***.99   mamba.ru62.***.99   www.mamba.ru62.***.99   marketgid.com62.***.99   www.marketgid.com62.***.99   mirtesen.ru62.***.99   www.mirtesen.ru62.***.99   mozilla.com62.***.99   newsru.com62.***.99   www.newsru.com62.***.99   nova.rambler.ru62.***.99   www.nova.rambler.ru62.***.99   odnoklasniki.ru
62.***.99   www.odnoklasniki.ru62.***.99   odnoklassniki.ru62.***.99   www.odnoklassniki.ru62.***.99   ozon.ru62.***.99   www.ozon.ru62.***.99   playground.ru62.***.99   www.playground.ru62.***.99   pornolab.net62.***.99   www.pornolab.net62.***.99   privet.ru62.***.99   www.privet.ru62.***.99   qip.ru62.***.99   www.qip.ru62.***.99   radikal.ru62.***.99   www.radikal.ru62.***.99   rambler.ru62.***.99   www.rambler.ru62.***.99   rapidshare.com62.***.99   www.rapidshare.com62.***.99   rbc.ru62.***.99   www.rbc.ru62.***.99   rian.ru62.***.99   www.rian.ru62.***.99   rutracker.org62.***.99   www.rutracker.org62.***.99   rutube.ru62.***.99   www.rutube.ru62.***.99   ru.wikipedia.org62.***.99   www.ru.wikipedia.org62.***.99   smscost.ru62.***.99   www.smscost.ru62.***.99   sms-price.ru62.***.99   www.sms-price.ru62.***.99   tfile.ru62.***.99   www.tfile.ru62.***.99   torrentdownloads.net62.***.99   www.torrentdownloads.net62.***.99   turbobit.net62.***.99   www.turbobit.net62.***.99   twitter.com62.***.99   www.twitter.com62.***.99   vesti.ru62.***.99   www.vesti.ru62.***.99   vip-file.com62.***.99   www.vip-file.com62.***.99   vk.com62.***.99   www.vk.com62.***.99   vkontakte.ru62.***.99   www.vkontakte.ru62.***.99   wordpress.com62.***.99   www.wordpress.com62.***.99   yahoo.com62.***.99   www.yahoo.com62.***.99   yandex.net62.***.99   www.yandex.net62.***.99   yandex.ru62.***.99   www.yandex.ru62.***.99   ya.ru62.***.99   www.ya.ru62.***.99   youtube.com62.***.99   www.youtube.com62.***.99   zaycev.net62.***.99   www.zaycev.net62.***.99   kav.ru62.***.99   www.kav.ru62.***.99   kaspersky.ru62.***.99   www.kaspersky.ru62.***.99   esetnod32.ru62.***.99   www.esetnod32.ru62.***.99   eset.com62.***.99   www.eset.com62.***.99   drweb.com62.***.99   www.drweb.com62.***.99   freedrweb.com62.***.99   www.freedrweb.com62.***.99   download.drweb.com62.***.99   www.download.drweb.com62.***.99   free-av.com62.***.99   www.free-av.com62.***.99   symantec.com62.***.99   www.symantec.com62.***.99   pandasecurity.com62.***.99   www.pandasecurity.com
что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

После этого троянец завершает свою работу.