| Автор |  |
| Категория | Троян |
| Дата обнаружения | 17.04.2012 |
| Размер | 952336 |
| Другие названия | |
| Trojan-Dropper.Win32.Delf.kwj (Касперский) | |
| GenericPWS.y!dxz.trojan (McAfee) | |
| Trojan:Win32/Sulunch.A (Microsoft) |
Краткое описание
Win32/Qhost.ПЗ-это троян, который меняет домашней страницы некоторых веб-браузеров.
Как устанавливается
При выполнении троян копирует себя в следующие папки:
- %system%\msnmsgr.exe
Троян создает следующий файл:
- %system%\drivers\vvuacult.exe (501760 B, Win32/Qhost.PEV)
Файл затем выполняется.
Троян создает следующий файл:
- %startup%\Windows Live Messenger.lnk
Файл-это ярлык на вредоносный файл.
Это приводит к тому, что троян запускается при каждой загрузке системы.
Дополнительная информация
Троян изменяет домашнюю страницу для следующих веб-браузеров:
- Internet Explorer
- Mozilla Firefox
Следующие записи реестра:
- [HKEY_CURRENT_USER\Software\Microsoft\Silverlight Plugin]
- "CheckSilverlight" = 1
- [HKEY_CURENT_USER\Software\Microsoft\Internet Explorer\Main]
- "Start Page" = "www.google.com.tr"
- "Search Page" = "www.google.com.tr"
- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing]
- "NewTabPageShow" = 0
- [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
- "Homepage" = 1
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
- "type" = "-"
- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
- "Hidden" = 0
- [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
- "EnableLUA" = 0
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments]
- "SaveZoneInformation" = 1
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations]
- "LowRiskFileTypes" = ".exe"
- "CheckSilverlight" = 1
- "Start Page" = "www.google.com.tr"
- "Search Page" = "www.google.com.tr"
- "NewTabPageShow" = 0
- "Homepage" = 1
- "type" = "-"
- "Hidden" = 0
- "EnableLUA" = 0
- "SaveZoneInformation" = 1
- "LowRiskFileTypes" = ".exe"
Троян модифицирует следующий файл:
- %system%\drivers\etc\hosts
Троян производит следующие записи в файл:
- 188.120.254.196 google.com.tr
- 188.120.254.196 www.google.com.tr
Троян модифицирует следующий файл:
- %appdata%\Mozilla\%profile%\prefs.js
Троян производит следующие записи в файл:
- user_pref("browser.startup.homepage", "www.google.com.tr")
Троян может открыть следующий URL:
- http://www.microsoft.com/getsilverlight/Get-Started/Install/Default.asp
Троян отображает следующую картину:
