| Автор |  |
| Категория | Червь |
| Дата обнаружения | 11.05.2010 |
| Размер | 90213 |
| Другие названия | |
| Trojan.Win32.Llac.acaz (Касперский) | |
| VirTool:Win32/Vbcrypt (Microsoft) | |
| Downloader (Symantec) |
Краткое описание
Win32/AutoRun.Qhost.AD-это червь, который запрещает доступ к определенным веб-сайтов и перенаправляет трафик на определенные IP-адреса. Он способен распространяться через общие папки и съемные нос
Как устанавливается
После запуска червь копирует себя в следующие папки:
- C:\Windows\scssrr.exe (90213 B)
Для того, чтобы выполняться на каждом запуске системы, модифицирует следующий ключ реестра:
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
- "winlogon" = "c:\Windows\scssrr.exe"
- "winlogon" = "c:\Windows\scssrr.exe"
Распространение на съёмных носителях
Червь копирует себя в следующие местоположения:
- %removabledrive%\Setup.exe
Червь создает следующий файл:
- %removabledrive%\autorun.inf
AUTORUN.INF-файл содержит путь к вредоносного исполняемого файла.
Таким образом, червь обеспечивает он запускается каждый раз, когда зараженные носитель вставлен в компьютер.
Дополнительная информация
Win32/AutoRun.Qhost.AD-это червь, который запрещает доступ к определенным веб-сайтов и перенаправляет трафик на определенные IP-адреса.
Червь изменяет файл:
- C:\Windows\System32\drivers\etc\hosts
Червь добавляет следующие записи в файл:
