Nombre:TR/Hosts.AS
Descubierto:27/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:41.171 Bytes
Suma de control MD5:1e0F0Dad6aae1e4866d2f097f0b6cb28
Versión del VDF:7.10.09.225

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Eset: Win32/Qhost.NYP


Plataforma / Sistema operativo:
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\f89b359b-4abe-4b1b-b3a2-5179690897fc\wrk1.tmp_46
   • %APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi



Sobrescribe un fichero.
%SYSDIR%\drivers\etc\hosts

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46"="rundll32.exe \"%APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi\", start"



Añade la siguiente clave al registro:

– [HKCU\SOFTWARE\Microsoft\Cryptography]
   • MachineGuid="f89b359b-4abe-4b1b-b3a2-5179690897fc"

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes podrían ser sobrescritas.

– El acceso a los siguientes dominios es redirigido a otras destinaciones:
   • google.com; search.yahoo.com; uk.search.yahoo.com; google.com.br;
      google.it; google.es; google.co.jp; google.com.mx; google.ca;
      google.com.au; google.nl; google.co.za; google.be; google.gr;
      google.at; google.se; google.ch; google.pt; google.dk; google.fi;
      google.ie; google.no; google.de; google.fr; google.co.uk; bing.com


Descripción insertada por Florian Burlefinger el miércoles 28 de julio de 2010
Descripción actualizada por Andrei Ivanes el lunes 2 de agosto de 2010

Volver . . . .