TROJ_QHOST.DMS

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennwörter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

Übertragungsdetails

Wird möglicherweise von den folgenden externen Sites heruntergeladen:

• http://w{BLOCKED}s.com.br/advogadosoab/telas/www.facebook.com

Installation

Erstellt die folgenden Ordner:

• %User Temp%\5.tmp

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Einschleusungsroutine

Schleust die folgenden Dateien ein:

• %User Temp%\5.tmp\1.18.bat - detected as BAT_HOST.FK

(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)

Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.

Änderung der HOSTS-Datei

Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:

• {BLOCKED}.{BLOCKED}.238.100 itauuniclass.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itauuniclass.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bancoitau.com.br
• {BLOCKED}.{BLOCKED}.238.100 bancoitau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itaupersonnalite.com.br
• {BLOCKED}.{BLOCKED}.238.100 itaupersonnalite.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.prime.com.br
• {BLOCKED}.{BLOCKED}.238.100 prime.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bradescoprime.com.br
• {BLOCKED}.{BLOCKED}.238.100 bradescoprime.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 bb.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bb.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bancodobrasil.com.br
• {BLOCKED}.{BLOCKED}.238.100 bancodobrasil.com.br
• {BLOCKED}.{BLOCKED}.238.100 tam.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.tam.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 multiplusfidelidade.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.multiplusfidelidade.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 www.sicredi.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 sicredi.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 www.santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santandernet.com.br
• {BLOCKED}.{BLOCKED}.238.100 santandernet.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.banespa.com.br
• {BLOCKED}.{BLOCKED}.238.100 santanderempresarial.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santanderempresarial.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 https://www.santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb

Datendiebstahl

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

• Banco Bradesco
• Banco Itau
• Banco Santander
• Banco do Brasil
• Bradesco Prime
• Multiplus
• Prime
• Sicredi
• TAM