VírusTR/Qhost.IA
Data em que surgiu:10/10/2006
Tipo:Trojan
Incluído na lista "In The Wild"Não
Nível de danos:Baixo
Nível de distribuição:Baixo
Nível de risco:De baixo a médio
Ficheiro estático:Sim
Tamanho:19.968 Bytes
MD5 checksum:27b06efadce529f269187f0F8ddc9c71
Versão VDF:6.36.00.62
Versão IVDF:6.36.00.76 - terça-feira, 3 de outubro de 2006

 Vulgarmente Meio de transmissão:
   • Não tem rotinas de propagação


Alias:
   •  Kaspersky: Trojan.Win32.Qhost.ia
   •  Sophos: Troj/QHosts-AL


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundários:
   • Bloqueia o acesso a determinados Web sites
   • Descarrega um ficheiro

 Ficheiros Apaga a cópia executada inicialmente.



É criado o seguinte ficheiro:

%directório de execução do malware%\killme.bat Além disso executa-se depois de gerado. Este ficheiro de processamento em lote é usado para apagar um ficheiro.



Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://59.34.197.239/**********
Ainda em fase de pesquisa.

 Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é redireccionado para outros destinos:
   • www.baidu.com
   • baidu.com
   • www.sohu.com
   • sohu.com
   • www.sina.com
   • sina.com
   • www.sina.com.cn
   • sina.com.cn
   • www.163.com
   • 163.com
   • www.google.com
   • google.com
   • www.qq.com
   • qq.com
   • www.hao123.com
   • hao123.com
   • ttlttt.com




O ficheiro hospedeiro (alterado) terá a seguinte aparência:


 Detalhes do ficheiro Linguagem de programação:
 O programa de malware está escrito em Visual Basic.


Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
   • UPX

Descrição enviada por Monica Ghitun em terça-feira, 10 de outubro de 2006

Voltar . . . .