Qhosts
est un troyen qui modifie
la configuration de l'ordinateur et change le serveur DNS utilisé
lors de la navigation sur Internet, permettant à son
auteur de rediriger les personnes infectées vers les
sites de son choix voire de bloquer leur accès à
Internet. Le troyen utilise une faille du navigateur Internet
Explorer pour s'exécuter automatiquement, provoquant
le téléchargement et l'exécution automatique
d'un fichier AOLFIX.EXE. Pour
être contaminé, l'internaute doit visiter une page
web piégée vers laquelle il aura par exemple été
redirigé sous un faux prétexte, par l'intermédiaire
d'un spam.
PREVENTION
:
Les utilisateurs concernés doivent mettre
à jour leur antivirus. Les utilisateurs d'Internet
Explorer 5.01, 5.5 et 6.0 doivent également mettre
à jour leur navigateur via le service WindowsUpdate
ou le site
de Microsoft afin de corriger la faille exploitée
par le troyen pour s'exécuter automatiquement
lors de la consultation d'un message ou d'une page web
piégée.
DESINFECTION
:
Avant
de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le troyen. Les utilisateurs ne disposant
pas d'un antivirus peuvent utiliser gratuitement l'utilitaire
de désinfection FixQhost pour rechercher
et éliminer le troyen.
|
TYPE
:
Troyen
SYSTEME(S)
CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS
:
VBS.QHOSTS (Computer Associates)
Delude (F-Secure)
QHosts-1 (McAfee)
Hatoy.B (Panda Software)
Troj/Qhosts-1 (Sophos)
Trojan.Qhosts
(Symantec)
TROJ_QHOSTS.A (Trend Micro)
TAILLE
:
41.252 octets (.exe)
DECOUVERTE
:
29/09/2003
DESCRIPTION
DETAILLEE :
Qhosts est un troyen qui change le serveur DNS utilisé
lors de la navigation sur Internet, permettant à son
auteur de rediriger les personnes infectées vers les
sites de son choix voire de bloquer leur accès à
Internet. Il modifie également le fichier Hosts du
répertoire Windows dans le même but.
Le troyen
utilise une faille du navigateur Internet Explorer ("Object
Data Remote Execution Vulnerability", voir le bulletin
MS03-040)
pour s'exécuter automatiquement lorsque l'internaute
visite une page web piégée avec son navigateur.
Qhosts crée alors un fichier AOLFIX.EXE dans le répertoire
System de Windows puis provoque son exécution automatique.
Qhosts
n'est pas un virus, donc il ne se propage pas de lui-même.
Pour être contaminé, l'internaute doit visiter
une page web piégée vers laquelle il aura par
exemple été redirigé sous un faux prétexte,
notamment via un spam.
INFORMATIONS
COMPLEMENTAIRES :
->
FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|