Name:BAT/Qhost.A
Entdeckt am:04/07/2005
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:~2.700 Bytes
VDF Version:6.31.00.142

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.BAT.Zapchast
   •  F-Secure: Trojan.BAT.Zapchast


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.




Es wird versucht folgende Datei auszuführen:

– Dateiname:
   • %SYSDIR%\ipconfig.exe
unter Zuhilfenahme folgender Kommandozeilen-Parameter: /flushdns>NUL

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall bleiben bestehende Einträge erhalten.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • www.symantec.com; securityresponse.symantec.com; symantec.com;
      pandasoftware.com; www.pandasoftware.com; www.sophos.com; sophos.com;
      www.mcafee.com; mcafee.com; downloads-us1.kaspersky-labs.com;
      updates1.kaspersky-labs.com; updates2.kaspersky-labs.com;
      updates3.kaspersky-labs.com; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      ftp.downloads1.kaspersky-labs.com; ftp.downloads2.kaspersky-labs.com;
      ftp.downloads3.kaspersky-labs.com; dnl-eu5.kaspersky-labs.com;
      liveupdate.symantecliveupdate.com; www.viruslist.com; viruslist.com;
      f-secure.com; www.f-secure.com; kaspersky.com; kaspersky-labs.com;
      www.avp.com; www.kaspersky.com; avp.com; www.networkassociates.com;
      networkassociates.com; www.ca.com; ca.com; mast.mcafee.com;
      my-etrust.com; www.my-etrust.com; download.mcafee.com;
      dispatch.mcafee.com; secure.nai.com; nai.com; www.nai.com;
      update.symantec.com; updates.symantec.com; us.mcafee.com;
      liveupdate.symantec.com; customer.symantec.com; rads.mcafee.com;
      trendmicro.com; www.trendmicro.com; www.grisoft.com; virustotal.com;
      www.virustotal.com; windowsupdate.microsoft.com; www.microsoft.com;
      microsoft.com; virusscan.jotti.org




Die modifizierte Host Datei sieht wie folgt aus:


Die Beschreibung wurde erstellt von Teodor Onisor am Donnerstag, 14. September 2006
Die Beschreibung wurde geändert von Teodor Onisor am Donnerstag, 14. September 2006

zurück . . . .