Продукты:
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Уязвимости Угрозы
Главная Угрозы Trojan-Clicker Win32

Trojan-Clicker.Win32.Qhost

Detect date
07/06/2006
Класс
Trojan-Clicker
Платформа
Win32

Родительский класс: TrojWare

Вредоносные программы, которые осуществляют несанкционированные пользователем действия: уничтожают, блокируют, модифицируют или копируют информацию, нарушают работу компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители этой категории не умеют создавать свои копии, не способны к самовоспроизведению.

Класс: Trojan-Clicker

Предназначены для обращения к интернет-ресурсам (обычно к веб-страницам). Достигается это либо передачей соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows). У злоумышленника могут быть следующие цели для таких действий: • увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы; • привлечение потенциальных жертв для заражения вирусами или троянскими программами. • искусственная накрутка кликов в рекламных сетях с целью обогащения злоумышленников

Подробнее

Платформа: Win32

Win32 - платформа, управляемая операционной системой на базе Windows NT (Windows XP, Windows 7 и т.д.), позволяющей исполнять 32-битные приложения. В настоящее время данная платформа является одной из наиболее распространенных.

Описание

Technical Details

Семейство "троянских коней", основная функция которых - подмена или модификация файла HOSTS, в котором содержится соответствие IP-адресов и имен удаленных компьютеров. Обычно это делается с целью увеличить приток пользователей на какой-то сайт в интернете. При этом используется принцип разрешения имен в TCP/IP - сначала просматривается файл HOSTS, и если соответствий не найдено, то производится обращение к сетевым службам разрешения имен (подробности см. в документации к операционной системе).

При запуске "троянец" просто модифицирует файл HOSTS, прописывая туда ложные соответствия, например, такие: 

645238813       auto.search.msn.com
38.117.144.29   www.altavista.com
Это приводит к тому, что при обращении к серверам msn.com и altavista.com, операционная система обнаруживает соответствия в файле HOSTS и направляет запросы на IP-адрес 38.117.144.29.

"Троянцы" в основном используют наиболее посещаемые и известные сайты интернета, чтобы поток запросов на подставной IP-адрес был как можно более большим.

У злоумышленника могут быть следующие цели для такого перенаправления:

  • организация DoS-атаки (Denial Of Service) на какой-либо сервер;
  • увеличение посещаемости своего сайта с целью увеличения показов рекламы;
  • привлечение потенциальных жертв для заражения вирусами.

Смотрите также

Узнай статистику распространения уязвимостей в своем регионе statistics.securelist.com

Нашли неточность в описании этой уязвимости? Дайте нам знать!
Встречай новый Kaspersky!
Каждая минута твоей онлайн-жизни заслуживает топовой защиты.
Узнать больше
Kaspersky IT Security Calculator:
Оцените ваш профиль кибербезопасности
Узнать больше
Related articles
07 May 2024
Securelist
Эксплойты и уязвимости в первом квартале 2024 года
27 April 2024
Securelist
Инцидент с XZ Utils: как дошли до жизни такой
22 April 2024
Securelist
ToddyCat роет норы в вашей инфраструктуре и крадет секреты
19 April 2024
Securelist
Managed Detection and Response — отчет за 2023 год
18 April 2024
Securelist
Реагирование на инциденты: аналитический отчет за 2023 год
18 April 2024
Securelist
История с бэкдором в XZ — первоначальный анализ
Нашли неточность в описании этой уязвимости?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Нашли новую угрозу или уязвимость?
Если вы нашли новую угрозу или уязвимость, пожалуйста дайте нам знать по электронной почте:
newvirus@kaspersky.com
Продукты
Для дома
Для малого бизнеса
Для среднего бизнеса
Для крупного бизнеса
Select language
Sorting
Угроза
Confirm changes?
Your message has been sent successfully.