Полное описание

Имя:	TR/Qhost.N
Обнаружен:	04/10/2004
Вид:	Троянская программа
В реальных условиях:	Нет
Отмеченные факты заражения:	Низкий
Потенциал распространения:	Низкий
Потенциал повреждений:	Средний
Файл статистики:	Да
Размер файла:	5.632 байт.
Контрольная сумма MD5:	5202fa609639e020622d5ad42e21f11a
Версия VDF:	6.27.00.84

Общее Метод распространения:
   • Нет собственной процедуры распространения

Псевдонимы (аliases):
   • Symantec: Downloader.Lunii
   • Mcafee: QHosts-18
   • Kaspersky: Trojan.Win32.Qhost.n
   • TrendMicro: TROJ_QHOST.N
   • Bitdefender: Trojan.Qhost.N

Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Загружает файл
   • Загружает вредоносные файлы
   • Создает файл
   • Изменение реестра

Файлы Удаляются следующие файлы:
   • C:\temp\bdl74125.exe
   • C:\temp\Installer2.exe
   • C:\temp\msbb.exe
   • %SYSDIR%\host32.exe
   • %SYSDIR%\telnet.exe.tmp
   • %SYSDIR%\mouse.exe
   • %SYSDIR%\com.exe
   • %SYSDIR%\fnnmqi.exe
   • %SYSDIR%\exdl.exe
   • %SYSDIR%\exe2bin.exe
   • %SYSDIR%\exul.exe
   • %SYSDIR%\fastopen.exe
   • %SYSDIR%\mscdexnt.exe
   • %SYSDIR%\printer.exe
   • %SYSDIR%\printer32.exe
   • %SYSDIR%\ykyrtws.exe
   • %SYSDIR%\lpt.exe
   • %SYSDIR%\ir.exe
   • %SYSDIR%\intron.exe
   • %SYSDIR%\intronet.exe
   • %SYSDIR%\twink64.exe
   • %SYSDIR%\usb.exe
   • %WINDIR%\alchem.exe
   • %WINDIR%\adp8027_ISEARCHTECH5.exe
   • %WINDIR%\preInsTT.exe
   • %WINDIR%\preInsln.exe
   • %WINDIR%\preInMPP.exe
   • %WINDIR%\loadclean.exe

Создается файл:

– Незараженный файл:
   • %WINDIR%\hosts

Попытка загрузки следующих файлов:

– Следующий URL:
   • http://213.159.117.133/dl/**********
Сохраняется локально в: %WINDIR%\test

– Следующий URL:
   • http://213.159.117.133/newprogs/**********
Сохраняется локально в: %WINDIR%\toolbar.exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Qhost.N.2

– Следующий URL:
   • http://213.159.117.133/newprogs/**********
Сохраняется локально в: %WINDIR%\mstask1.t\exe Данный файл запускается на выполнение после его полной загрузки. Дальнейшие исследования выявили, что данный файл является вредоносной программой. Определен как: TR/Killav.DB.2

Реестр Удаляются значения следующего ключа реестра:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Ukbybc
   • Tern
   • ControlPanel
   • alchem
   • BullsEye Network
   • dmesewxqtj
   • Internet Optimizer
   • IST Service
   • msbb
   • Power Scan
   • Winad Client

Удаляются все значения следующего ключа реестра и его подключей:
   • [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

Хосты Хост файл изменяется следующим образом:

– В этом случае удаляются существующие строки.

– Успешно блокирован доступ к следующим доменам:
   • allforadult.com
   • www.allforadult.com
   • www.iframe.biz
   • iframe.biz
   • www.newiframe.biz
   • newiframe.biz
   • www.vesbiz.biz
   • vesbiz.biz
   • www.pizdato.biz
   • pizdato.biz
   • www.aaasexypics.com
   • aaasexypics.com
   • www.virgin-tgp.net
   • virgin-tgp.net

Модифицированный хост-файл выглядит следующим образом:

Завершение процесса Список завершаемых процессов:
   • lpt.exe; ir.exe; intron.exe; intronet.exe; twink64.exe; usb.exe;
      teur.exe; host32.exe; sidefind.exe; alchem.exe; powerscan.exe;
      bdl74125.exe; Installer2.exe; ttgkirnl.exe; bargains.exe; WinClt.exe;
      Winad.exe; istsvc.exe; actalert.exe; optimize.exe; iinstall.exe;
      fnnmqi.exe; exdl.exe; printer.exe; printer32.exe; ykyrtws.exe;
      loadclean.exe; telnet.exe

Данные файла Язык программирования:
Программа была написана на MS Visual C++.

Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
• UPX

Описание добавил Andrei Gherman в(о) среда, 19 апреля 2006 г.
Описание обновил Andrei Gherman в(о) среда, 19 апреля 2006 г.

Назад . . . .