Trojan.Win32.VkHost.cqr

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является самораспаковывающимся архивом (Rar SFX). Имеет размер 663822 байта.

Деструктивная активность

После запуска троянец перезаписывает оригинальный файл "hosts"

%windir%\system32\drivers\etc\hosts

Файлом, который содержит следующие строки:

78.***.40.37 www.google.ru 
78.***.40.37 google.ru 
78.***.40.37 www.odnoklassniki.ru 
78.***.40.37 odnoklassniki.ru 
78.***.40.37 www.yandex.ru 
78.***.40.37 yandex.ru 
178.***.214.27 www.vkontakte.ru 
178.***.214.27 vkontakte.ru 
78.***.40.37 www.google.com 
78.***.40.37 google.com 
178.***.214.27 www.m.vkontakte.ru 
178.***.214.27 m.vkontakte.ru 
78.***.40.37 www.webmoney.ru 
78.***.40.37 webmoney.ru 
178.***.214.27 www.vkontakte.com
178.***.214.27 vkontakte.com 
178.***.214.27 www.durov.ru 
178.***.214.27 durov.ru 
78.***.40.37 www.weblastaney.ru 
78.***.40.37 weblastaney.ru 
78.***.40.37 www.odnoklassniki.ua 
78.***.40.37 odnoklassniki.ua 
78.***.40.37 www.odnoklasniki.ru 
78.***.40.37 odnoklasniki.ru 
78.***.40.37 www.odnoklasniki.ua 
78.***.40.37 odnoklasniki.ua 
78.***.40.37 www.wap.odnoklassniki.ru 
78.***.40.37 wap.odnoklassniki.ru 
78.***.40.37 www.loveplanet.ru 
78.***.40.37 loveplanet.ru 
78.***.40.37 www.mamba.ru 
78.***.40.37 mamba.ru 
78.***.40.37 www.google.ua 
78.***.40.37 google.ua 
78.***.40.37 www.google.kz 
78.***.40.37 google.kz 
78.***.40.37 www.bing.com 
78.***.40.37 bing.com 
78.***.40.37 www.yandex.com 
78.***.40.37 yandex.com 
78.***.40.37 www.ya.ru 
78.***.40.37 ya.ru 
78.***.40.37 www.mail.ru 
78.***.40.37 mail.ru 
78.***.40.37 www.my.mail.ru 
78.***.40.37 my.mail.ru 
78.***.40.37 www.qiwi.ru 
78.***.40.37 qiwi.ru 
78.***.40.37 www.rambler.ru 
78.***.40.37 rambler.ru 
178.***.214.27 www.vk.com 
178.***.214.27 vk.com 
78.***.40.37 www.gmail.ru 
78.***.40.37 gmail.ru 
78.***.40.37 www.aport.ru 
78.***.40.37 aport.ru 
78.***.40.37 www.msn.com 
78.***.40.37 msn.com 
78.***.40.37 otvet.mail.ru
78.***.40.37 www.otvet.mail.ru

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Троянец создает файл:

%windir%\system32\drivers\etc\hоsts

Где буква "о" в названии файла является кириллическим символом. Созданный файл содержит следующие строки:

#This is an example of the hosts file

Также троянец создает файл:

%windir%\system32\drivers\etc\Lighthouse.jpg

Данный файл является графическим файлом.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Удалить файлы:

   %windir%\system32\drivers\etc\hоsts

   Где буква "о" в названии файла является кириллическим символом.

   %windir%\system32\drivers\etc\Lighthouse.jpg

3. Восстановить оригинальное содержимое файла:

   %windir%\system32\drivers\etc\hosts

   которое по умолчанию имеет следующий вид:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
   #
   # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
   #
   # Этот файл содержит сопоставления IP-адресов именам узлов.
   # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
   # находиться в первом столбце, за ним должно следовать соответствующее имя.
   # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
   #
   # Кроме того, в некоторых строках могут быть вставлены комментарии 
   # (такие, как эта строка), они должны следовать за именем узла и отделяться
   # от него символом '#'.
   #
   # Например:
   #
   #      102.54.94.97     rhino.acme.com          # исходный сервер
   #       38.25.63.10     x.acme.com              # узел клиента x
   
   127.0.0.1       localhost
   

4. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).