Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является пакетным файлом командного интерпретатора (BAT-файл). Имеет размер 5661 байт.

Деструктивная активность

После запуска троянец модифицирует оригинальный файл "hosts":

%windir%/system32/drivers/etc/hosts

Дописывая в файл следующие строки:

91.***.194.149 www.vkontakte.ru
91.***.194.149 vkontakte.ru
91.***.194.149 vk.com
91.***.194.149 www.vk.com
91.***.194.149 www.durov.ru
91.***.194.149 durov.ru
91.***.194.149 my.mail.ru
91.***.194.149 www.my.mail.ru
91.***.194.149 www.loveplanet.ru
91.***.194.149 loveplanet.ru
91.***.194.149 mamba.ru
91.***.194.149 www.mamba.ru
91.***.194.149 www.odnoklassniki.ru
91.***.194.149 odnoklassniki.ru
91.***.194.149 www.google.com
91.***.194.149 google.com
91.***.194.149 www.google.ru
91.***.194.149 google.ru
91.***.194.149 www.google.ua
91.***.194.149 google.ua
91.***.194.149 www.google.kz
91.***.194.149 google.kz
91.***.194.149 www.bing.com
91.***.194.149 bing.com
91.***.194.149 www.yahoo.com
91.***.194.149 yahoo.com
91.***.194.149 www.yandex.ru
91.***.194.149 yandex.ru
91.***.194.149 ya.ru
91.***.194.149 www.ya.ru
91.***.194.149 mail.ru
91.***.194.149 www.mail.ru
91.***.194.149 www.rambler.ru
91.***.194.149 rambler.ru
91.***.194.149 gmail.ru
91.***.194.149 www.gmail.ru
91.***.194.149 www.yandex.com
91.***.194.149 yandex.com
91.***.194.149 www.aport.ru
91.***.194.149 aport.ru
91.***.194.149 gogo.ru
91.***.194.149 www.gogo.ru
91.***.194.149 nigma.ru
91.***.194.149 www.nigma.ru
91.***.194.149 msn.com
91.***.194.149 www.msn.com

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Для измененного файла "hosts" устанавливает атрибуты "Скрытый", "Только чтение".

Создает файл:

%windir%/system32/drivers/etc/hоsts

Где буква "о" в названии файла является кириллическим символом. В созданный файл троянец записывает следующее содержимое:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample hOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com
# source server
# 38.25.63.10 x.acme.com
# x client host
--
127.0.0.1 localhost

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Восстановить оригинальное содержимое файла:

%windir%/system32/drivers/etc/hosts

которое по умолчанию имеет следующий вид:

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом `#`.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

Источник: securelist.com.

перейти в архив