Trojan.Win32.Qhost.lxa

Время детектирования	24 авг 2009 19:42 MSK
Время выпуска обновления	25 авг 2009 00:57 MSK
Описание опубликовано	15 дек 2011 19:37 MSK

Экспертное описание Автоматическое описание Это описание создано экспертами «Лаборатории Касперского» и содержит наиболее точную информацию о данном детектируемом объекте. Экспертное описание Автоматическое описание Описание сгенерировано автоматически на основании анализа действий сэмпла этого детектируемого объекта на тестовом компьютере и может содержать неточную информацию.
Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 65536 байт. Написана на Visual Basic.

Инсталляция

Для автоматического запуска при следующем старте системы троянец добавляет запись в ключ автозапуска системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"GoogleUpdate"="\<имя вредоноса>"

Деструктивная активность

После запуска троянец создает и запускает на выполнение файл:

c:\sysb.bat

С помощью этого файла троянец:

разрешает удаленный доступ к зараженному компьютеру, для чего создает ключ системного реестра:
```
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"= 1
"AllowTSConnections"= 1
```
активирует "Удаленного помощника", для чего создает ключ системного реестра:
```
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fAllowToGetHelp"= 1
```
Останавливает службы с именами:
```
central de seguranca
wscsvc
SharedAccess
```
Затем модифицирует файл:
```
c:\windows\system32\drivers\etc\hosts
```
В который записывает следующие данные:
```
199.238.144.115 visanet.com.br
199.238.144.115 www.visanet.com.br
199.238.144.115 www.openbank.es
199.238.144.115 openbank.es
199.238.144.115 www.lacaixa.es
199.238.144.115 lacaixa.es
199.238.144.115 www.bancoreal.com.br
199.238.144.115 www.real.com.br
199.238.144.115 www.real.com.br
199.238.144.115 www.itau.com.br
199.238.144.115 itau.com.br
199.238.144.115 www.itaupersonnalite.com.br
199.238.144.115 itaupersonnalite.com.br
199.238.144.115 www.itauprivatebank.com.br
199.238.144.115 itauprivatebank.com.br
199.238.144.115 www.bb.com.br
199.238.144.115 bb.com.br
199.238.144.115 www.bb.gov.br
199.238.144.115 bb.gov.br
199.238.144.115 bradesco.com.br
199.238.144.115 www.bradesco.com.br
199.238.144.115 www.bradescoprime.com.br
199.238.144.115 bradescoprime.com.br
199.238.144.115 bradescojuridico.com.br
199.238.144.115 www.checktudo.com.br
199.238.144.115 checktudo.com.br
199.238.144.115 www.infoseg.gov.br
199.238.144.115 infoseg.gov.br
199.238.144.115 www.real.com.br
199.238.144.115 real.com.br
199.238.144.115 www.bradescojuridico.com.br
199.238.144.115 santander.com.br
199.238.144.115 www.santander.com.br
199.238.144.115 banespa.com.br
199.238.144.115 www.nossacaixa.com.br
199.238.144.115 nossacaixa.com.br
199.238.144.115 www.unibanco.com.br
199.238.144.115 unibanco.com.br
199.238.144.115 www.banespa.com.br
199.238.144.115 banespa.com.br
199.238.144.115 www.itauprivatebank.com.br
199.238.144.115 itauprivatebank.com.br
199.238.144.115 caixacatalunya.es
199.238.144.115 www.caixacatalunya.es
199.238.144.115 banesto.es
199.238.144.115 www.banesto.es
199.238.144.115 www.cajamadrid.es
199.238.144.115 cajamadrid.es
199.238.144.115 www.bbva.es
199.238.144.115 bbva.es
199.238.144.115 serasa.com.br
199.238.144.115 www.serasa.com.br
199.238.144.115 www.cam.es
199.238.144.115 cam.es

199.238.144.115 portal.lacaixa.es
199.238.144.115 www.banespa.com.br
198.65.62.140 www.caixa.com.br
198.65.62.140 caixa.com.br
198.65.62.140 www.caixaeconomicafederal.com.br
198.65.62.140 caixaeconomicafederal.com.br
198.65.62.140 www.cef.com.br
198.65.62.140 cef.com.br
198.65.62.140 www.caixa.gov.br
198.65.62.140 caixa.gov.br
198.65.62.140 www.caixaeconomica.com.br
198.65.62.140 caixaeconomica.com.br
198.65.62.140 www.caixaeconomica.gov.br
198.65.62.140 caixaeconomica.gov.br
198.65.62.140 www.cef.gov.br
198.65.62.140 www.caixaeconomicafederal.gov.br
198.65.62.140 caixaeconomicafederal.gov.br
199.238.144.115 cetelem.com.br
199.238.144.115 www.cetelem.com.br
199.238.144.115 citibank.com.br
199.238.144.115 www.citibank.com.br
199.238.144.115 www.pagamentodigital.com.br
199.238.144.115 pagamentodigital.com.br
199.238.144.115 www.cartaobndes.gov.br
199.238.144.115 cartaobndes.gov.br
199.238.144.115 americanas.com.br
199.238.144.115 www.americanas.com.br
199.238.144.115 americanas.com
199.238.144.115 www.americanas.com
```
Далее троянец загружает файлы со следующих URL адресов:
```
http://www.cyprianosom.com.br/images/atual.txt
http://www.ecep.com.br/img/atual.gif
```
На момент создания описания ссылки не работали.

Загруженные файлы троянец сохраняет под следующими именами:
```
<WorkDir>\atual.txt
<WorkDir>\atual.exe
```
После этого троянец запускает на выполнение файл "atual.exe".

Также троянец скрывает окно с заголовком:
```
avenger - Bloco de notas
```
Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
1. При помощи "Диспетчера задач" завершить вредоносный процесс.
2. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
3. Удалить параметр системного реестра (как работать с реестром?):
```
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"GoogleUpdate"="<WorkDir>\<имя вредоноса>"
```
4. Удалить параметр системного реестра (как работать с реестром?):
```
[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fDenyTSConnections"= 1
"AllowTSConnections"= 1

[HKLM\System\CurrentControlSet\Control\Terminal Server]
"fAllowToGetHelp"= 1
```
5. Восстановить оригинальное содержимое файла:
```
c:\windows\system32\drivers\etc\hosts
```
  которое по умолчанию имеет следующий вид:
```
# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии 
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
#      102.54.94.97     rhino.acme.com          # исходный сервер
#       38.25.63.10     x.acme.com              # узел клиента x

127.0.0.1       localhost
```
6. Удалить файлы:
```
<WorkDir>\atual.txt
<WorkDir>\atual.exe
c:\sysb.bat
```
7. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Резюме
- Trojan. Выполняет действия, характерные для вредоносных программ
Технические детали

Основной файл является приложением Windows (PE EXE-файл). Файл создан с помощью Средство разработки, с помощью которого была создана данная программакомпилятора "Microsoft Visual Basic". Имеет размер 65536 байт.

Инсталляция

Создает файлы на зараженном компьютере

Вредоносная активность

Модифицирует (удаляет) системные файлы ОС Windows

Прочие действия

Загружает файлы по заданным ссылкам и сохраняет их в файловой системе
Выполняет запуск определенных файлов (команд)
Изменяет некоторые ключи системного реестра
Описание изменяемых ключей:
- Используется для автозапуска файлов при загрузке ОС Windows
НОВОЕ НА САЙТЕ

17 апреля 2024 года

В 2023 году самыми всераспространенными Android-угрозами стали троянские программы, демонстрирующие рекламу. Шпионские троянские приложения по уподоблению с прошлым годом понизили свою энергичность таково словно стали вторыми по числу детектирований на защищаемых антивирусом Dr.Web устройствах. невзирая на то, словн... Вирусные новости
11 апреля 2024 года

Компания «Доктор Веб» 4 апреля сообщила о выпуске обновления для продуктов линейки Dr.Web Enterprise Security Suite, сертифицированных ФСТЭК России.

Обновление ориентировано н... Антивирус Dr.Web
4 апреля 2024 года

Компания «Доктор Веб» информирует о выпуске обновления Dr.Web Desktop Security Suite (для Windows), Dr.Web Server Security Suite (для Windows), Dr.Web Mail Security Suite (для MS Exchange) так как Агента Dr.Web для Windows в составе сертифицированного ФСТЭК нашей родины Dr.Web Enterprise Security Suite (сертификат соответствия №3509). В рамках ... Антивирус Dr.Web

1 апреля 2024 года

Согласно этим статистики детектирований Dr.Web для мобильных механизмов Android, в феврале 2024 лета несравнимо возросла энергичность маркетинговых троянских программ из семейства Android.HiddenAdsВирусные новости

1 апреля 2024 года

Анализ статистики детектирований антивируса Dr.Web в феврале 2024 лета отобразил рост общего числа найденных опасностей на 1,26% по уподоблению с январем. При данном количество удивительных опасностей снизилось на 0,78%. фаворитные позиции по численности детектирований снова заняли всевозможные маркетинговые... Вирусные новости

Мой Антивирус

Trojan.Win32.Qhost.lxa

Технические детали

Инсталляция

Деструктивная активность

Рекомендации по удалению

Резюме

Технические детали

Инсталляция

Вредоносная активность

Прочие действия