Nome del virus:TR/Qhost.N
Scoperto:04/10/2004
Tipo:Trojan
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio
File statico:Si
Dimensione del file:5.632 Byte
Somma di controllo MD5:5202fa609639e020622d5ad42e21f11a
Versione VDF:6.27.00.84

 Generale Metodo di propagazione:
   • Nessuna propria procedura di propagazione


Alias:
   •  Symantec: Downloader.Lunii
   •  Mcafee: QHosts-18
   •  Kaspersky: Trojan.Win32.Qhost.n
   •  TrendMicro: TROJ_QHOST.N
   •  Bitdefender: Trojan.Qhost.N


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Scarica un file
   • Scarica file “maligni”
   • Duplica un file
   • Modifica del registro

 File  Cancella i seguenti file:
   • C:\temp\bdl74125.exe
   • C:\temp\Installer2.exe
   • C:\temp\msbb.exe
   • %SYSDIR%\host32.exe
   • %SYSDIR%\telnet.exe.tmp
   • %SYSDIR%\mouse.exe
   • %SYSDIR%\com.exe
   • %SYSDIR%\fnnmqi.exe
   • %SYSDIR%\exdl.exe
   • %SYSDIR%\exe2bin.exe
   • %SYSDIR%\exul.exe
   • %SYSDIR%\fastopen.exe
   • %SYSDIR%\mscdexnt.exe
   • %SYSDIR%\printer.exe
   • %SYSDIR%\printer32.exe
   • %SYSDIR%\ykyrtws.exe
   • %SYSDIR%\lpt.exe
   • %SYSDIR%\ir.exe
   • %SYSDIR%\intron.exe
   • %SYSDIR%\intronet.exe
   • %SYSDIR%\twink64.exe
   • %SYSDIR%\usb.exe
   • %WINDIR%\alchem.exe
   • %WINDIR%\adp8027_ISEARCHTECH5.exe
   • %WINDIR%\preInsTT.exe
   • %WINDIR%\preInsln.exe
   • %WINDIR%\preInMPP.exe
   • %WINDIR%\loadclean.exe



Viene creato il seguente file:

– File “non maligno”:
   • %WINDIR%\hosts




Prova a scaricare dei file:

– La posizione è la seguente:
   • http://213.159.117.133/dl/**********
Viene salvato in locale sotto: %WINDIR%\test

– La posizione è la seguente:
   • http://213.159.117.133/newprogs/**********
Viene salvato in locale sotto: %WINDIR%\toolbar.exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Qhost.N.2


– La posizione è la seguente:
   • http://213.159.117.133/newprogs/**********
Viene salvato in locale sotto: %WINDIR%\mstask1.t\exe Inoltre questo file viene eseguito dopo essere stato completamente scaricato. Ulteriori analisi hanno accertato che questo file è anch'esso un malware. Riconosciuto come: TR/Killav.DB.2

 Registro I valori della seguente chiave di registro vengono rimossi:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Ukbybc
   • Tern
   • ControlPanel
   • alchem
   • BullsEye Network
   • dmesewxqtj
   • Internet Optimizer
   • IST Service
   • msbb
   • Power Scan
   • Winad Client



La seguente chiave di registro che include tutti i valori e le sottochiavi, viene rimossa:
   • [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • allforadult.com
   • www.allforadult.com
   • www.iframe.biz
   • iframe.biz
   • www.newiframe.biz
   • newiframe.biz
   • www.vesbiz.biz
   • vesbiz.biz
   • www.pizdato.biz
   • pizdato.biz
   • www.aaasexypics.com
   • aaasexypics.com
   • www.virgin-tgp.net
   • virgin-tgp.net




L'host del file modificato sarà del tipo:


 Processi terminati Lista dei processi che vengono terminati:
   • lpt.exe; ir.exe; intron.exe; intronet.exe; twink64.exe; usb.exe;
      teur.exe; host32.exe; sidefind.exe; alchem.exe; powerscan.exe;
      bdl74125.exe; Installer2.exe; ttgkirnl.exe; bargains.exe; WinClt.exe;
      Winad.exe; istsvc.exe; actalert.exe; optimize.exe; iinstall.exe;
      fnnmqi.exe; exdl.exe; printer.exe; printer32.exe; ykyrtws.exe;
      loadclean.exe; telnet.exe


 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • UPX

Descrizione inserita da Andrei Gherman su mercoledì 19 aprile 2006
Descrizione aggiornata da Andrei Gherman su mercoledì 19 aprile 2006

Indietro . . . .