TROJ_QHOST.DMS
Windows 2000, Windows XP, Windows Server 2003
Tipo de grayware:
Trojan
Destrutivo:
Não
Criptografado:
Não
In the Wild:
Sim
Visão geral
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.
Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennwörter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.
Detalhes técnicos
Übertragungsdetails
Wird möglicherweise von den folgenden externen Sites heruntergeladen:
- http://w{BLOCKED}s.com.br/advogadosoab/telas/www.facebook.com
Installation
Erstellt die folgenden Ordner:
- %User Temp%\5.tmp
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Einschleusungsroutine
Schleust die folgenden Dateien ein:
- %User Temp%\5.tmp\1.18.bat - detected as BAT_HOST.FK
(Hinweis: %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Anschließend werden die eingeschleusten Dateien ausgeführt. Dadurch können die bösartigen Routinen der eingeschleusten Dateien auf dem betroffenen System aktiv werden.
Änderung der HOSTS-Datei
Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:
- {BLOCKED}.{BLOCKED}.238.100 itauuniclass.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.itauuniclass.com.br
- {BLOCKED}.{BLOCKED}.238.100 www4.itau.com.br
- {BLOCKED}.{BLOCKED}.238.100 itau.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.itau.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.bancoitau.com.br
- {BLOCKED}.{BLOCKED}.238.100 bancoitau.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.itaupersonnalite.com.br
- {BLOCKED}.{BLOCKED}.238.100 itaupersonnalite.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 bradesco.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.bradesco.com.br
- {BLOCKED}.{BLOCKED}.238.100 www4.bradesco.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.prime.com.br
- {BLOCKED}.{BLOCKED}.238.100 prime.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.bradescoprime.com.br
- {BLOCKED}.{BLOCKED}.238.100 bradescoprime.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 bb.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.bb.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.bancodobrasil.com.br
- {BLOCKED}.{BLOCKED}.238.100 bancodobrasil.com.br
- {BLOCKED}.{BLOCKED}.238.100 tam.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.tam.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 multiplusfidelidade.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.multiplusfidelidade.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 www.sicredi.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 sicredi.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 www.santander.com.br
- {BLOCKED}.{BLOCKED}.238.100 www4.santander.com.br
- {BLOCKED}.{BLOCKED}.238.100 santander.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.santandernet.com.br
- {BLOCKED}.{BLOCKED}.238.100 santandernet.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.banespa.com.br
- {BLOCKED}.{BLOCKED}.238.100 santanderempresarial.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.santanderempresarial.com.br
- {BLOCKED}.{BLOCKED}.0.1 localhost
- {BLOCKED}.{BLOCKED}.238.100 https://www.santandernetibe.com.br
- {BLOCKED}.{BLOCKED}.238.100 www.santandernetibe.com.br
- {BLOCKED}.{BLOCKED}.238.100 santandernetibe.com.br
- {BLOCKED}.{BLOCKED}.238.100 http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb
Datendiebstahl
Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:
- Banco Bradesco
- Banco Itau
- Banco Santander
- Banco do Brasil
- Bradesco Prime
- Multiplus
- Prime
- Sicredi
- TAM
Solução
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Malware-Dateien entfernen, die hinterlassen/heruntergeladen wurden von TROJ_QHOST.DMS
· BAT_HOST.FK
Step 3
Diese Zeichenfolgen entfernen, die die Malware/Grayware/Spyware zur HOSTS-Datei hinzugefügt hat
- {BLOCKED}.{BLOCKED}.238.100 itauuniclass.com.br
{BLOCKED}.{BLOCKED}.238.100 www.itauuniclass.com.br
{BLOCKED}.{BLOCKED}.238.100 www4.itau.com.br
{BLOCKED}.{BLOCKED}.238.100 itau.com.br
{BLOCKED}.{BLOCKED}.238.100 www.itau.com.br
{BLOCKED}.{BLOCKED}.238.100 www.bancoitau.com.br
{BLOCKED}.{BLOCKED}.238.100 bancoitau.com.br
{BLOCKED}.{BLOCKED}.238.100 www.itaupersonnalite.com.br
{BLOCKED}.{BLOCKED}.238.100 itaupersonnalite.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 bradesco.com.br
{BLOCKED}.{BLOCKED}.238.100 www.bradesco.com.br
{BLOCKED}.{BLOCKED}.238.100 www4.bradesco.com.br
{BLOCKED}.{BLOCKED}.238.100 www.prime.com.br
{BLOCKED}.{BLOCKED}.238.100 prime.com.br
{BLOCKED}.{BLOCKED}.238.100 www.bradescoprime.com.br
{BLOCKED}.{BLOCKED}.238.100 bradescoprime.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 bb.com.br
{BLOCKED}.{BLOCKED}.238.100 www.bb.com.br
{BLOCKED}.{BLOCKED}.238.100 www.bancodobrasil.com.br
{BLOCKED}.{BLOCKED}.238.100 bancodobrasil.com.br
{BLOCKED}.{BLOCKED}.238.100 tam.com.br
{BLOCKED}.{BLOCKED}.238.100 www.tam.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 multiplusfidelidade.com.br
{BLOCKED}.{BLOCKED}.238.100 www.multiplusfidelidade.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 www.sicredi.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 sicredi.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 www.santander.com.br
{BLOCKED}.{BLOCKED}.238.100 www4.santander.com.br
{BLOCKED}.{BLOCKED}.238.100 santander.com.br
{BLOCKED}.{BLOCKED}.238.100 www.santandernet.com.br
{BLOCKED}.{BLOCKED}.238.100 santandernet.com.br
{BLOCKED}.{BLOCKED}.238.100 www.banespa.com.br
{BLOCKED}.{BLOCKED}.238.100 santanderempresarial.com.br
{BLOCKED}.{BLOCKED}.238.100 www.santanderempresarial.com.br
{BLOCKED}.{BLOCKED}.0.1 localhost
{BLOCKED}.{BLOCKED}.238.100 https://www.santandernetibe.com.br
{BLOCKED}.{BLOCKED}.238.100 www.santandernetibe.com.br
{BLOCKED}.{BLOCKED}.238.100 santandernetibe.com.br
{BLOCKED}.{BLOCKED}.238.100 http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb
Step 4
Diese Ordner suchen und löschen
Step 5
Durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt, und löschen Sie Dateien, die als TROJ_QHOST.DMS entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Participe da nossa pesquisa!