VírusTR/Qhost.N
Data em que surgiu:04/10/2004
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:Médio
Ficheiro estático:Sim
Tamanho:5.632 Bytes
MD5 checksum:5202fa609639e020622d5ad42e21f11a
Versão VDF:6.27.00.84

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Symantec: Downloader.Lunii
   •  Mcafee: QHosts-18
   •  Kaspersky: Trojan.Win32.Qhost.n
   •  TrendMicro: TROJ_QHOST.N
   •  Bitdefender: Trojan.Qhost.N


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Descarrega um ficheiro
   • Descarrega ficheiros maliciosos
   • Descarrega um ficheiro
   • Altera o registo do Windows

 Ficheiros  Elimina os seguintes ficheiros:
   • C:\temp\bdl74125.exe
   • C:\temp\Installer2.exe
   • C:\temp\msbb.exe
   • %SYSDIR%\host32.exe
   • %SYSDIR%\telnet.exe.tmp
   • %SYSDIR%\mouse.exe
   • %SYSDIR%\com.exe
   • %SYSDIR%\fnnmqi.exe
   • %SYSDIR%\exdl.exe
   • %SYSDIR%\exe2bin.exe
   • %SYSDIR%\exul.exe
   • %SYSDIR%\fastopen.exe
   • %SYSDIR%\mscdexnt.exe
   • %SYSDIR%\printer.exe
   • %SYSDIR%\printer32.exe
   • %SYSDIR%\ykyrtws.exe
   • %SYSDIR%\lpt.exe
   • %SYSDIR%\ir.exe
   • %SYSDIR%\intron.exe
   • %SYSDIR%\intronet.exe
   • %SYSDIR%\twink64.exe
   • %SYSDIR%\usb.exe
   • %WINDIR%\alchem.exe
   • %WINDIR%\adp8027_ISEARCHTECH5.exe
   • %WINDIR%\preInsTT.exe
   • %WINDIR%\preInsln.exe
   • %WINDIR%\preInMPP.exe
   • %WINDIR%\loadclean.exe



É criado o seguinte ficheiro:

– Ficheiro não malicioso:
   • %WINDIR%\hosts




Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://213.159.117.133/dl/**********
Encontra-se no disco rígido: %WINDIR%\test

– A partir da seguinte localização:
   • http://213.159.117.133/newprogs/**********
Encontra-se no disco rígido: %WINDIR%\toolbar.exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Qhost.N.2


– A partir da seguinte localização:
   • http://213.159.117.133/newprogs/**********
Encontra-se no disco rígido: %WINDIR%\mstask1.t\exe Além disso executa-se depois do download estar completo. Outras investigações apontam para que este ficheiro, também, seja malware. Detectado como: TR/Killav.DB.2

 Registry (Registo do Windows) Os valores da seguinte chave Registo são eliminados:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Ukbybc
   • Tern
   • ControlPanel
   • alchem
   • BullsEye Network
   • dmesewxqtj
   • Internet Optimizer
   • IST Service
   • msbb
   • Power Scan
   • Winad Client



A seguinte chave de registo e todos os valores são eliminados:
   • [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • allforadult.com
   • www.allforadult.com
   • www.iframe.biz
   • iframe.biz
   • www.newiframe.biz
   • newiframe.biz
   • www.vesbiz.biz
   • vesbiz.biz
   • www.pizdato.biz
   • pizdato.biz
   • www.aaasexypics.com
   • aaasexypics.com
   • www.virgin-tgp.net
   • virgin-tgp.net




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Terminar o processo A seguinte lista de processos são terminados:
   • lpt.exe; ir.exe; intron.exe; intronet.exe; twink64.exe; usb.exe;
      teur.exe; host32.exe; sidefind.exe; alchem.exe; powerscan.exe;
      bdl74125.exe; Installer2.exe; ttgkirnl.exe; bargains.exe; WinClt.exe;
      Winad.exe; istsvc.exe; actalert.exe; optimize.exe; iinstall.exe;
      fnnmqi.exe; exdl.exe; printer.exe; printer32.exe; ykyrtws.exe;
      loadclean.exe; telnet.exe


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Andrei Gherman em quarta-feira, 19 de abril de 2006
Descrição atualizada por Andrei Gherman em quarta-feira, 19 de abril de 2006

Voltar . . . .