Trojan-Clicker.Win32.Qhost

Technical Details

Семейство “троянских коней”, основная функция которых – подмена или модификация файла HOSTS, в котором содержится соответствие IP-адресов и имен удаленных компьютеров. Обычно это делается с целью увеличить приток пользователей на какой-то сайт в интернете. При этом используется принцип разрешения имен в TCP/IP – сначала просматривается файл HOSTS, и если соответствий не найдено, то производится обращение к сетевым службам разрешения имен (подробности см. в документации к операционной системе).

При запуске “троянец” просто модифицирует файл HOSTS, прописывая туда ложные соответствия, например, такие:

645238813       auto.search.msn.com
38.117.144.29   www.altavista.com

Это приводит к тому, что при обращении к серверам msn.com и altavista.com, операционная система обнаруживает соответствия в файле HOSTS и направляет запросы на IP-адрес 38.117.144.29.

“Троянцы” в основном используют наиболее посещаемые и известные сайты интернета, чтобы поток запросов на подставной IP-адрес был как можно более большим.

У злоумышленника могут быть следующие цели для такого перенаправления:

• организация DoS-атаки (Denial Of Service) на какой-либо сервер;
• увеличение посещаемости своего сайта с целью увеличения показов рекламы;
• привлечение потенциальных жертв для заражения вирусами.