TROJ_QHOST.DMS

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Detalles de entrada

Puede haberse descargado desde los sitios remotos siguientes:

• http://w{BLOCKED}s.com.br/advogadosoab/telas/www.facebook.com

Instalación

Crea las carpetas siguientes:

• %User Temp%\5.tmp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Rutina de infiltración

Infiltra los archivos siguientes:

• %User Temp%\5.tmp\1.18.bat - detected as BAT_HOST.FK

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Modificar el archivo HOSTS

Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

• {BLOCKED}.{BLOCKED}.238.100 itauuniclass.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itauuniclass.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bancoitau.com.br
• {BLOCKED}.{BLOCKED}.238.100 bancoitau.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.itaupersonnalite.com.br
• {BLOCKED}.{BLOCKED}.238.100 itaupersonnalite.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.bradesco.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.prime.com.br
• {BLOCKED}.{BLOCKED}.238.100 prime.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bradescoprime.com.br
• {BLOCKED}.{BLOCKED}.238.100 bradescoprime.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 bb.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bb.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.bancodobrasil.com.br
• {BLOCKED}.{BLOCKED}.238.100 bancodobrasil.com.br
• {BLOCKED}.{BLOCKED}.238.100 tam.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.tam.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 multiplusfidelidade.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.multiplusfidelidade.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 www.sicredi.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 sicredi.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 www.santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 www4.santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 santander.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santandernet.com.br
• {BLOCKED}.{BLOCKED}.238.100 santandernet.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.banespa.com.br
• {BLOCKED}.{BLOCKED}.238.100 santanderempresarial.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santanderempresarial.com.br
• {BLOCKED}.{BLOCKED}.0.1 localhost
• {BLOCKED}.{BLOCKED}.238.100 https://www.santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 www.santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 santandernetibe.com.br
• {BLOCKED}.{BLOCKED}.238.100 http://www.bb.com.br/portalbb/home23,116,116,1,1,1,1.bb

Robo de información

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Banco Bradesco
• Banco Itau
• Banco Santander
• Banco do Brasil
• Bradesco Prime
• Multiplus
• Prime
• Sicredi
• TAM