Name:TR/Qhost.IA
Entdeckt am:10/10/2006
Art:Trojan
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Niedrig
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:19.968 Bytes
MD5 Prüfsumme:27b06efadce529f269187f0F8ddc9c71
VDF Version:6.36.00.62
IVDF Version:6.36.00.76 - Dienstag, 3. Oktober 2006

 General Verbreitungsmethode:
   • Keine eigene Verbreitungsroutine


Aliases:
   •  Kaspersky: Trojan.Win32.Qhost.ia
   •  Sophos: Troj/QHosts-AL


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Erstellt eine Datei

 Dateien Die anfänglich ausgeführte Kopie der Malware wird gelöscht.



Es wird folgende Datei erstellt:

%Verzeichnis in dem die Malware ausgeführt wurde%\killme.bat Des weiteren wird sie ausgeführt nachdem sie vollständig erstellt wurde. Diese Batchdatei wird genutzt um eine Datei zu löschen.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • http://59.34.197.239/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains werden auf andere Ziele umgeleitet:
   • www.baidu.com
   • baidu.com
   • www.sohu.com
   • sohu.com
   • www.sina.com
   • sina.com
   • www.sina.com.cn
   • sina.com.cn
   • www.163.com
   • 163.com
   • www.google.com
   • google.com
   • www.qq.com
   • qq.com
   • www.hao123.com
   • hao123.com
   • ttlttt.com




Die modifizierte Host Datei sieht wie folgt aus:


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Monica Ghitun am Dienstag, 10. Oktober 2006

zurück . . . .