Nome del virus:TR/Hosts.AS
Scoperto:27/07/2010
Tipo:Trojan
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Basso
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:41.171 Byte
Somma di controllo MD5:1e0F0Dad6aae1e4866d2f097f0b6cb28
Versione VDF:7.10.09.225

 Generale Metodo di propagazione:
   • Funzione di esecuzione automatica


Alias:
   •  Eset: Win32/Qhost.NYP


Piattaforma / Sistema operativo:
   • Windows XP


Effetti secondari:
   • Blocca l'accesso a certi siti web
   • Blocca l'accesso a siti web di sicurezza
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %TEMPDIR%\f89b359b-4abe-4b1b-b3a2-5179690897fc\wrk1.tmp_46
   • %APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi



Sovrascrive un file.
%SYSDIR%\drivers\etc\hosts

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46"="rundll32.exe \"%APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi\", start"



Viene aggiunta la seguente chiave di registro:

– [HKCU\SOFTWARE\Microsoft\Cryptography]
   • MachineGuid="f89b359b-4abe-4b1b-b3a2-5179690897fc"

 Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono sovrascritti.

– L'accesso ai seguenti domini è reindirizzato ad altre destinazioni:
   • google.com; search.yahoo.com; uk.search.yahoo.com; google.com.br;
      google.it; google.es; google.co.jp; google.com.mx; google.ca;
      google.com.au; google.nl; google.co.za; google.be; google.gr;
      google.at; google.se; google.ch; google.pt; google.dk; google.fi;
      google.ie; google.no; google.de; google.fr; google.co.uk; bing.com


Descrizione inserita da Florian Burlefinger su mercoledì 28 luglio 2010
Descrizione aggiornata da Andrei Ivanes su lunedì 2 agosto 2010

Indietro . . . .