Описание работы вируса Trojan-Banker.Win32. Qhost.rv

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (RAR SFX-файл). Имеет размер 93463 байта. Написана на C++.

Деструктивная активность

После запуска троянец извлекает из своего тела файл, которым переписывает оригинальный файл "hosts"

%System%\drivers\etc\hosts

Данный файл имеет размер 2324 байта и детектируется Антивирусом Касперского как Trojan-Banker.Win32.Qhost.rv. Извлеченный файл содержит следующие строки:

# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host

# localhost name resolution is handled within DNS itself.
#       127.0.0.1       localhost
#       ::1             localhost


74.***.60  santander.cl
74.***.60  www.santander.cl
74.***.60  www.bancosantander.cl
74.***.60  bancosantander.cl
74.***.60  www.banefe.cl
74.***.60  banefe.cl
74.***.60  www.santandersantiago.cl
74.***.60  santandersantiago.cl
74.***.60  bbva.cl
74.***.60  www.bbva.cl
74.***.60  bbvanet.cl
74.***.60  www.bbvanet.cl

Измененный файл "hosts" позволяет злоумышленнику перенаправлять обращения по указанным URL адресам, на заданный IP адрес.