Trojan.Win32.VkHost.coc

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 418304 байта. Написана на Delphi.

Деструктивная активность

После запуска троянец перезаписывает оригинальный файл "hosts":

C:\WINDOWS\system32\drivers\etc\hosts

Дописывая в файл следующие строки:

46.37.***.149 www.vkontakte.ru
46.37.***.149 vkontakte.ru
46.37.***.149 www.vk.com
46.37.***.149 vk.com
46.37.***.149 durov.ru
46.37.***.149 www.durov.ru
46.37.***.149 www.odnoklassniki.ru
46.37.***.149 odnoklassniki.ru

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Для измененного файла "hosts" устанавливает атрибуты "Скрытый", "Системный".

Создает файл:

C:\WINDOWS\system32\drivers\etc\hоsts

Где буква "о" в названии файла является кириллическим символом. В созданный файл троянец записывает следующее содержимое:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a  sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should  be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address  and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a # symbol.
#
# For example:
#
#      102.54.94.97     rhino.acme.com          # source server
#       38.25.63.10     x.acme.com              # x client host
 
127.0.0.1       localhost

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Восстановить оригинальное содержимое файла:

   %windir%\system32\drivers\etc\hosts
   

   которое по умолчанию имеет следующий вид:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
   #
   # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
   #
   # Этот файл содержит сопоставления IP-адресов именам узлов.
   # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
   # находиться в первом столбце, за ним должно следовать соответствующее имя.
   # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
   #
   # Кроме того, в некоторых строках могут быть вставлены комментарии 
   # (такие, как эта строка), они должны следовать за именем узла и отделяться
   # от него символом '#'.
   #
   # Например:
   #
   #      102.54.94.97     rhino.acme.com          # исходный сервер
   #       38.25.63.10     x.acme.com              # узел клиента x
   
   127.0.0.1       localhost
   

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 2324D68940364E7FAFEFE290633A0482
SHA1: B7A191290905D79DB7B2CCA9AFFBD16BC4ADC859