Trojan.Win32.VkHost.dfa

Технические детали
Деструктивная активность
Рекомендации по удалению

Технические детали

Троянская программа, выполняющая деструктивные действия на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 519680 байт. Написана на Delphi.

Деструктивная активность

После запуска троянец перезаписывает оригинальный файл "hosts":

%WinDir%\system32\drivers\etc\hosts

Записывая в файл следующие строки:

173.*.114.161 vkontakte.ru
173.*.114.161 vk.com
173.*.114.161 durov.ru
173.*.114.161 www.vkontakte.ru
173.*.114.161 yandex.ru
173.*.114.161 google.ru
173.*.114.161 wikipedia.ru
173.*.114.161 mail.ru
173.*.114.161 odnoklassniki.ru
173.*.114.161 rambler.ru
173.*.114.161 ya.ru
173.*.114.161 google.com
173.*.114.161 www.google.ru
173.*.114.161 www.vk.com
173.*.114.161 www.durov.ru
173.*.114.161 www.yandex.ru
173.*.114.161 www.mail.ru
173.*.114.161 www.google.com
173.*.114.161 www.ya.ru
173.*.114.161 www.rambler.ru
173.*.114.161 www.odnoklassniki.ru
173.*.114.161 pda.vkontakte.ru
173.*.114.161 m.vkontakte.ru
173.*.114.161 www.m.vkontakte.ru
173.*.114.161 www.otvet.mail.ru
173.*.114.161 www.nigma.ru
173.*.114.161 nigma.ru
173.*.114.161 forum.antichat.ru
173.*.114.161 www.forum.antichat.ru
173.*.114.161 google.ua
173.*.114.161 www.google.ua

что приводит к перенаправлению обращений по указанным URL адресам, на заданный IP адрес.

Для измененного файла "hosts" устанавливает атрибут "Скрытый".

Создает файл с нулевым размером:

%WinDir%\system32\drivers\etc\hоsts

Где буква "о" в названии файла является кириллическим символом.

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:

1. Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
2. Восстановить оригинальное содержимое файла:

   %WinDir%\system32\drivers\etc\hosts

   которое по умолчанию имеет следующий вид:

   # (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
   #
   # Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
   #
   # Этот файл содержит сопоставления IP-адресов именам узлов.
   # Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
   # находиться в первом столбце, за ним должно следовать соответствующее имя.
   # IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
   #
   # Кроме того, в некоторых строках могут быть вставлены комментарии 
   # (такие, как эта строка), они должны следовать за именем узла и отделяться
   # от него символом '#'.
   #
   # Например:
   #
   #      102.54.94.97     rhino.acme.com          # исходный сервер
   #       38.25.63.10     x.acme.com              # узел клиента x
   
   127.0.0.1       localhost
   

3. Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).

MD5: 406E0B5A34D4533B46D25857E1193459
SHA1: D40F5724957DC049356768FEDBA37DE9AF6F7FCD

Резюме

• Trojan. Выполняет действия, характерные для вредоносных программ

Технические детали

Имеет размер 519680 байт.

Вредоносная активность

Модифицирует (удаляет) системные файлы ОС Windows:

• Системный каталог ОС Windows (обычно, C:\Windows\System32)%System%\drivers\etc\hosts
  Описание:
  ­Модифицирует файл HOSTS (%System%\drivers\etc\hosts), прописывая туда собственные соответствия. Это приводит к тому, что при обращении к перечисленным серверам, операционная система обнаруживает соответствия в файле HOSTS и направляет запросы на другой IP-адрес­