Nume:TR/Hosts.AS
Descoperit pe data de:27/07/2010
Tip:Troian
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Scazut
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:41.171 Bytes
MD5:1e0F0Dad6aae1e4866d2f097f0b6cb28
Versiune VDF:7.10.09.225

 General Metoda de raspandire:
   • Functia autorun


Alias:
   •  Eset: Win32/Qhost.NYP


Sisteme de operare:
   • Windows XP


Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Blocheaza accesul la website-uri ale firmelor de securitate
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %TEMPDIR%\f89b359b-4abe-4b1b-b3a2-5179690897fc\wrk1.tmp_46
   • %APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi



Suprascrie un fisier.
– %SYSDIR%\drivers\etc\hosts

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46"="rundll32.exe \"%APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi\", start"



Se adauga in registrii sistemului:

– [HKCU\SOFTWARE\Microsoft\Cryptography]
   • MachineGuid="f89b359b-4abe-4b1b-b3a2-5179690897fc"

 Fisiere host Fisierul

– In acest caz, inregistrarile existente ar putea fi suprascrise.

– Accesul la urmatoarele domenii este redirectionat catre alte destinatii:
   • google.com; search.yahoo.com; uk.search.yahoo.com; google.com.br;
      google.it; google.es; google.co.jp; google.com.mx; google.ca;
      google.com.au; google.nl; google.co.za; google.be; google.gr;
      google.at; google.se; google.ch; google.pt; google.dk; google.fi;
      google.ie; google.no; google.de; google.fr; google.co.uk; bing.com


Die Beschreibung wurde erstellt von Florian Burlefinger am Mittwoch, 28. Juli 2010
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 2. August 2010

zurück . . . .