Full description

Nume:	TR/Qhost.N
Descoperit pe data de:	04/10/2004
Tip:	Troian
ITW:	Nu
Numar infectii raportate:	Scazut
Potential de raspandire:	Scazut
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	5.632 Bytes
MD5:	5202fa609639e020622d5ad42e21f11a
Versiune VDF:	6.27.00.84

General Metoda de raspandire:
   • Nu are rutina proprie de raspandire

Alias:
   • Symantec: Downloader.Lunii
   • Mcafee: QHosts-18
   • Kaspersky: Trojan.Win32.Qhost.n
   • TrendMicro: TROJ_QHOST.N
   • Bitdefender: Trojan.Qhost.N

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Blocheaza accesul la anumite website-uri
   • Descarca un fisier
   • Descarca fisiere malware
   • Creeaza un fisier
   • Modificari in registri

Fisiere Sterge urmatoarele fisiere:
   • C:\temp\bdl74125.exe
   • C:\temp\Installer2.exe
   • C:\temp\msbb.exe
   • %SYSDIR%\host32.exe
   • %SYSDIR%\telnet.exe.tmp
   • %SYSDIR%\mouse.exe
   • %SYSDIR%\com.exe
   • %SYSDIR%\fnnmqi.exe
   • %SYSDIR%\exdl.exe
   • %SYSDIR%\exe2bin.exe
   • %SYSDIR%\exul.exe
   • %SYSDIR%\fastopen.exe
   • %SYSDIR%\mscdexnt.exe
   • %SYSDIR%\printer.exe
   • %SYSDIR%\printer32.exe
   • %SYSDIR%\ykyrtws.exe
   • %SYSDIR%\lpt.exe
   • %SYSDIR%\ir.exe
   • %SYSDIR%\intron.exe
   • %SYSDIR%\intronet.exe
   • %SYSDIR%\twink64.exe
   • %SYSDIR%\usb.exe
   • %WINDIR%\alchem.exe
   • %WINDIR%\adp8027_ISEARCHTECH5.exe
   • %WINDIR%\preInsTT.exe
   • %WINDIR%\preInsln.exe
   • %WINDIR%\preInMPP.exe
   • %WINDIR%\loadclean.exe

Este creat fisierul:

– Fisier inofensiv:
   • %WINDIR%\hosts

Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • http://213.159.117.133/dl/**********
Fisierul este stocat pe hard disc la: %WINDIR%\test

– Adresa este urmatoarea:
   • http://213.159.117.133/newprogs/**********
Fisierul este stocat pe hard disc la: %WINDIR%\toolbar.exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Qhost.N.2

– Adresa este urmatoarea:
   • http://213.159.117.133/newprogs/**********
Fisierul este stocat pe hard disc la: %WINDIR%\mstask1.t\exe In plus, acest fisier este executat dupa ce este descarcat de pe Internet. Analiza ulterioara a relevat ca si acest fisier este malware. Detectat ca: TR/Killav.DB.2

Registrii sistemului Valorile urmatoarei chei sunt sterse din registrii sistemului:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Ukbybc
   • Tern
   • ControlPanel
   • alchem
   • BullsEye Network
   • dmesewxqtj
   • Internet Optimizer
   • IST Service
   • msbb
   • Power Scan
   • Winad Client

Se sterge urmatoarea cheie din registri, inclusiv toate valorile si cheile subordnate:
   • [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

Fisiere host Fisierul

– In acest caz, inregistrarile existente sunt sterse.

– Accesul la urmatoarele domenii este blocat:
   • allforadult.com
   • www.allforadult.com
   • www.iframe.biz
   • iframe.biz
   • www.newiframe.biz
   • newiframe.biz
   • www.vesbiz.biz
   • vesbiz.biz
   • www.pizdato.biz
   • pizdato.biz
   • www.aaasexypics.com
   • aaasexypics.com
   • www.virgin-tgp.net
   • virgin-tgp.net

Fisierul hosts modificat va arata astfel:

Terminarea proceselor Lista cu procesele oprite:
   • lpt.exe; ir.exe; intron.exe; intronet.exe; twink64.exe; usb.exe;
      teur.exe; host32.exe; sidefind.exe; alchem.exe; powerscan.exe;
      bdl74125.exe; Installer2.exe; ttgkirnl.exe; bargains.exe; WinClt.exe;
      Winad.exe; istsvc.exe; actalert.exe; optimize.exe; iinstall.exe;
      fnnmqi.exe; exdl.exe; printer.exe; printer32.exe; ykyrtws.exe;
      loadclean.exe; telnet.exe

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).

Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
• UPX

Description inserted by Andrei Gherman on Wednesday, April 19, 2006
Description updated by Andrei Gherman on Wednesday, April 19, 2006

Back . . . .

Featured PC protection

Free products

Most popular

All products

Bundled Solutions

Workstation

Server

Bundled Solutions

Mail Gateways

Web Gateways

Collaboration Platforms

Home Products

Business Products

Virus Lab

More Support

Become an Avira Partner

Home Products

Business Products

Just want to evaluate a product?

Manuals and Tools