Технические детали
Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 54784 байта. Упакована при помощи UPX. Распакованный размер – около 145 КБ. Написана на C++.
Деструктивная активность
После запуска троянец перемещает оригинальный файл "hosts": %System%/drivers/etc/hosts В системный каталог Windows: %System%/hosts После чего выполняет запись в оригинальный файл "hosts" следующих строк:
62.***.97 ag.ru
62.***.97 www.ag.ru
62.***.97 ask.com
62.***.97 www.ask.com
62.***.97 auto.ru
62.***.97 www.auto.ru
62.***.97 avito.ru
62.***.97 www.avito.ru
62.***.97 bing.com
62.***.97 www.bing.com
62.***.97 blogger.com
62.***.97 www.blogger.com
62.***.97 championat.ru
62.***.97 www.championat.ru
62.***.97 community.livejournal.com
62.***.97 www.community.livejournal.com
62.***.97 depositfiles.com
62.***.97 www.depositfiles.com
62.***.97 diary.ru
62.***.97 www.diary.ru
62.***.97 drweb.com
62.***.97 www.drweb.com
62.***.97 en.wikipedia.org
62.***.97 www.en.wikipedia.org
62.***.97 esetnod32.ru
62.***.97 www.esetnod32.ru
62.***.97 facebook.com
62.***.97 www.facebook.com
62.***.97 fastpic.ru
62.***.97 www.fastpic.ru
62.***.97 fishki.net
62.***.97 www.fishki.net
62.***.97 games.rambler.ru
62.***.97 www.games.rambler.ru
62.***.97 gazeta.ru
62.***.97 www.gazeta.ru
62.***.97 gismeteo.ru
62.***.97 www.gismeteo.ru
62.***.97 google.com
62.***.97 www.google.com
62.***.97 google.ru
62.***.97 www.google.ru
62.***.97 habrahabr.ru
62.***.97 www.habrahabr.ru
62.***.97 hh.ru
62.***.97 www.hh.ru
62.***.97 ifolder.ru
62.***.97 www.ifolder.ru
62.***.97 kaspersky.ru
62.***.97 www.kaspersky.ru
62.***.97 kinopoisk.ru
62.***.97 www.kinopoisk.ru
62.***.97 kinozal.tv
62.***.97 www.kinozal.tv
62.***.97 kp.ru
62.***.97 www.kp.ru
62.***.97 lenta.ru
62.***.97 www.lenta.ru
62.***.97 letitbit.net
62.***.97 www.letitbit.net
62.***.97 live.com
62.***.97 www.live.com
62.***.97 liveinternet.ru
62.***.97 www.liveinternet.ru
62.***.97 livejournal.com
62.***.97 www.livejournal.com
62.***.97 loveplanet.ru
62.***.97 www.loveplanet.ru
62.***.97 love.rambler.ru
62.***.97 www.love.rambler.ru
62.***.97 mail.rambler.ru
62.***.97 www.mail.rambler.ru
62.***.97 mamba.ru
62.***.97 www.mamba.ru
62.***.97 marketgid.com
62.***.97 www.marketgid.com
62.***.97 mirtesen.ru
62.***.97 www.mirtesen.ru
62.***.97 mozilla.com
62.***.97 www.mozilla.com
62.***.97 msn.com
62.***.97 www.msn.com
62.***.97 narod.ru
62.***.97 www.narod.ru
62.***.97 newsru.com
62.***.97 www.newsru.com
62.***.97 nova.rambler.ru
62.***.97 www.nova.rambler.ru
62.***.97 odnoklasniki.ru
62.***.97 www.odnoklasniki.ru
62.***.97 odnoklassniki.ru
62.***.97 www.odnoklassniki.ru
62.***.97 ozon.ru
62.***.97 www.ozon.ru
62.***.97 playground.ru
62.***.97 www.playground.ru
62.***.97 pornolab.net
62.***.97 www.pornolab.net
62.***.97 privet.ru
62.***.97 www.privet.ru
62.***.97 qip.ru
62.***.97 www.qip.ru
62.***.97 radikal.ru
62.***.97 www.radikal.ru
62.***.97 rambler.ru
62.***.97 www.rambler.ru
62.***.97 rapidshare.com
62.***.97 www.rapidshare.com
62.***.97 rbc.ru
62.***.97 www.rbc.ru
62.***.97 rian.ru
62.***.97 www.rian.ru
62.***.97 rutracker.org
62.***.97 www.rutracker.org
62.***.97 rutube.ru
62.***.97 www.rutube.ru
62.***.97 ru.wikipedia.org
62.***.97 www.ru.wikipedia.org
62.***.97 smscost.ru
62.***.97 www.smscost.ru
62.***.97 sms-price.ru
62.***.97 www.sms-price.ru
62.***.97 tfile.ru
62.***.97 www.tfile.ru
62.***.97 torrentdownloads.net
62.***.97 www.torrentdownloads.net
62.***.97 turbobit.net
62.***.97 www.turbobit.net
62.***.97 twitter.com
62.***.97 www.twitter.com
62.***.97 vesti.ru
62.***.97 www.vesti.ru
62.***.97 vip-file.com
62.***.97 www.vip-file.com
62.***.97 vk.com
62.***.97 www.vk.com
62.***.97 vkontakte.ru
62.***.97 www.vkontakte.ru
62.***.97 wordpress.com
62.***.97 www.wordpress.com
62.***.97 yahoo.com
62.***.97 www.yahoo.com
62.***.97 yandex.net
62.***.97 www.yandex.net
62.***.97 yandex.ru
62.***.97 www.yandex.ru
62.***.97 ya.ru
62.***.97 www.ya.ru
62.***.97 youtube.com
62.***.97 www.youtube.com
62.***.97 zaycev.net
62.***.97 www.zaycev.net
62.***.97 kav.ru
62.***.97 www.kav.ru
62.***.97 kaspersky.ru
62.***.97 www.kaspersky.ru
62.***.97 esetnod32.ru
62.***.97 www.esetnod32.ru
62.***.97 eset.com
62.***.97 www.eset.com
62.***.97 drweb.com
62.***.97 www.drweb.com
62.***.97 freedrweb.com
62.***.97 www.freedrweb.com
62.***.97 download.drweb.com
62.***.97 www.download.drweb.com
62.***.97 free-av.com
62.***.97 www.free-av.com
62.***.97 symantec.com
62.***.97 www.symantec.com
62.***.97 pandasecurity.com
62.***.97 www.pandasecurity.com
что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.
Измененный файл "hosts" детектируется Антивирусом Касперского как Trojan.Win32.Hosts.gen.
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Восстановить оригинальное содержимое файла:
%System%/drivers/etc/hosts
которое по умолчанию имеет следующий вид:
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом `#`.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x
127.0.0.1 localhost
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
