Description complète

Nom:	TR/Qhost.IA
La date de la découverte:	10/10/2006
Type:	Cheval de Troie
En circulation:	Non
Infections signalées	Faible
Potentiel de distribution:	Faible
Potentiel de destruction:	Faible a moyen
Fichier statique:	Oui
Taille du fichier:	19.968 Octets
Somme de contrôle MD5:	27b06efadce529f269187f0F8ddc9c71
Version VDF:	6.36.00.62
Version IVDF:	6.36.00.76 - mardi 3 octobre 2006

Général Méthode de propagation:
   • Il ne possède pas de propre routine de propagation

Les alias:
   • Kaspersky: Trojan.Win32.Qhost.ia
   • Sophos: Troj/QHosts-AL

Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effets secondaires:
   • Il bloque l'accès aux certains sites web
   • Il crée un fichier

Fichiers Il supprime sa propre copie, exécutée initialement

Le fichier suivant est créé:

– %le dossier d'exécution du malware%\killme.bat Ensuite, il est exécuté après avoir été completment crée. Ce fichier séquentiel est employé pour effacer un fichier.

Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
• http://59.34.197.239/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

Hôtes Le fichier hôte est modifié, comme il est expliqué:

– Dans ce cas les entrées existantes sont écrasées

– L'accès aux liens URL suivants est redirigé vers d'autres destinations :
   • www.baidu.com
   • baidu.com
   • www.sohu.com
   • sohu.com
   • www.sina.com
   • sina.com
   • www.sina.com.cn
   • sina.com.cn
   • www.163.com
   • 163.com
   • www.google.com
   • google.com
   • www.qq.com
   • qq.com
   • www.hao123.com
   • hao123.com
   • ttlttt.com

Le fichier hôte modifié ressemblera à ceci:

Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Logiciel de compression des fichiers exécutables:
Pour entraver la détection et pour réduire la taille du fichier il est compressé avec le logiciel de compression des exécutables suivant:
• UPX

Description insérée par Monica Ghitun le mardi 10 octobre 2006

Retour . . . .