trojan
  • Win32/Qhost.PEV

  • 0
Автор
КатегорияТроян
Дата обнаружения17.04.2012
Размер952336
Другие названия
Trojan-Dropper.Win32.Delf.kwj (Касперский)
GenericPWS.y!dxz.trojan (McAfee)
Trojan:Win32/Sulunch.A (Microsoft)

Краткое описание

Win32/Qhost.ПЗ-это троян, который меняет домашней страницы некоторых веб-браузеров.

Как устанавливается

При выполнении троян копирует себя в следующие папки:

  • %system%\­msnmsgr.exe

Троян создает следующий файл:

  • %system%\­drivers\­vvuacult.exe (501760 B, Win32/Qhost.PEV)

Файл затем выполняется.

Троян создает следующий файл:

  • %startup%\­Windows Live Messenger.lnk

Файл-это ярлык на вредоносный файл.

Это приводит к тому, что троян запускается при каждой загрузке системы.

Дополнительная информация

Троян изменяет домашнюю страницу для следующих веб-браузеров:

  • Internet Explorer
  • Mozilla Firefox

Следующие записи реестра:

  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Silverlight Plugin]
    • "CheckSilverlight" = 1
  • [HKEY_CURENT_USER\­Software\­Microsoft\­Internet Explorer\­Main]
    • "Start Page" = "www.google.com.tr"
    • "Search Page" = "www.google.com.tr"
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Internet Explorer\­TabbedBrowsing]
    • "NewTabPageShow" = 0
  • [HKEY_CURRENT_USER\­Software\­Policies\­Microsoft\­Internet Explorer\­Control Panel]
    • "Homepage" = 1
  • [HKEY_LOCAL_MACHINE\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­Advanced\­Folder\­Hidden]
    • "type" = "-"
  • [HKEY_CURRENT_USER\­SOFTWARE\­Microsoft\­Windows\­CurrentVersion\­Explorer\­Advanced]
    • "Hidden" = 0
  • [HKEY_LOCAL_MACHINE\­software\­microsoft\­windows\­currentversion\­policies\­system]
    • "EnableLUA" = 0
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Policies\­Attachments]
    • "SaveZoneInformation" = 1
  • [HKEY_CURRENT_USER\­Software\­Microsoft\­Windows\­CurrentVersion\­Policies\­Associations]
    • "LowRiskFileTypes" = ".exe"
  • "CheckSilverlight" = 1
  • "Start Page" = "www.google.com.tr"
  • "Search Page" = "www.google.com.tr"
  • "NewTabPageShow" = 0
  • "Homepage" = 1
  • "type" = "-"
  • "Hidden" = 0
  • "EnableLUA" = 0
  • "SaveZoneInformation" = 1
  • "LowRiskFileTypes" = ".exe"

Троян модифицирует следующий файл:

  • %system%\­drivers\­etc\­hosts

Троян производит следующие записи в файл:

  • 188.120.254.196 google.com.tr
  • 188.120.254.196 www.google.com.tr

Троян модифицирует следующий файл:

  • %appdata%\­Mozilla\­%profile%\­prefs.js

Троян производит следующие записи в файл:

  • user_pref("browser.startup.homepage", "www.google.com.tr")

Троян может открыть следующий URL:

  • http://www.microsoft.com/getsilverlight/Get-Started/Install/Default.asp

Троян отображает следующую картину:

    Похожие записи

    Добавить комментарий

    Ваш e-mail не будет опубликован. Обязательные поля помечены *