Имя:TR/Hosts.AS
Обнаружен:27/07/2010
Вид:Троянская программа
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Низкий
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:41.171 байт.
Контрольная сумма MD5:1e0F0Dad6aae1e4866d2f097f0b6cb28
Версия VDF:7.10.09.225

 Общее Метод распространения:
   • Функция автозапуска


Псевдоним (alias):
   •  Eset: Win32/Qhost.NYP


Операционная система:
   • Windows XP


Последствия:
   • Блокирует доступ к различным веб-сайтам
   • Блокирует доступ к веб-страницам IT-security компаний
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %TEMPDIR%\f89b359b-4abe-4b1b-b3a2-5179690897fc\wrk1.tmp_46
   • %APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi



Файл будет переписан.
%SYSDIR%\drivers\etc\hosts

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46"="rundll32.exe \"%APPDATA%\f90d803d-7bb2-46b8-a890-d6d8b6800dd5_46.avi\", start"



Добавляется следующий ключ реестра:

– [HKCU\SOFTWARE\Microsoft\Cryptography]
   • MachineGuid="f89b359b-4abe-4b1b-b3a2-5179690897fc"

 Хосты Хост файл изменяется следующим образом:

– В этом случае существующие строки могут быть переписаны.

– При попытке получить доступ к следующим доменам запрос перенаправляется на другой адрес:
   • google.com; search.yahoo.com; uk.search.yahoo.com; google.com.br;
      google.it; google.es; google.co.jp; google.com.mx; google.ca;
      google.com.au; google.nl; google.co.za; google.be; google.gr;
      google.at; google.se; google.ch; google.pt; google.dk; google.fi;
      google.ie; google.no; google.de; google.fr; google.co.uk; bing.com


Описание добавил Florian Burlefinger в(о) среда, 28 июля 2010 г.
Описание обновил Andrei Ivanes в(о) понедельник, 2 августа 2010 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.