|
Más información
|
Este virus es también conocido bajo otros nombres como:
QHosts-1, Trojan.Qhosts, VBS.QHOSTS, VBS/StartPage.D, Delude,
Trojan.BAT.Startpage.a, QHosts-1.dr, TROJ_QHOSTS.A, Trj/Hatoy.A, Trj/Hatoy.B
y dispone dos variantes: Troj/VBS.Qhosts.A, Troj/VBS.Qhosts.B
Más información sobre este virus y recomendaciones para
eliminarlo del sistema en
VSAntivirus
|
|
|
En su reporte semanal, Trend Micro, alerta de la proliferación
de este troyano y de los efectos negativos que puede causar en los equipos
informáticos no actualizados al utilizar una vulnerabilidad del Explorador
de Internet de Microsoft conocida como Ejecución Remota de Objetos de Datos (Object
Data Remote Execution Vulnerability).
Para ello, este troyano aprovecha la vulnerabilidad del
Explorador de Internet de Microsoft que permite ejecutar ciertos programas con
sólo visitar una página web, por lo que el usuario desconoce que está infectado.
De acuerdo con Trend Micro, a partir de ese momento los
cibernautas tienen dificultad para acceder a Internet, dejando de funcionar
correctamente el acceso a los buscadores más importantes
¿Como funciona?
A diferencia de otros troyanos más comunes, este se ejecuta
al visitar ciertos que parecen totalmente inofensivos. En estos lugares se
encuentra un archivo malicioso llamado AOLFIX.EXE que se ejecuta
automáticamente en las maquinas de los visitantes al ejecutar una rutina
JavaScript contenida en el sitio web
En ese momento crea el fichero O.BAT en el directorio
actual o en el escritorio de Windows y verifica la existencia del archivo
AOLFIX.EXE en la carpeta de archivos temporales. Luego de ejecutar el
archivo AOLFIX.EXE, el virus intenta borrarlo del directorio de archivos
temporales y posteriormente se borra a sí mismo.
A partir de ese momento, el troyano redirecciona
aproximadamente 109 sitios web a la dirección IP 207.44.220.30, así como también
reemplaza el sistema de búsquedas o la página que nos muestra el explorador
cuando intentamos acceder a una pagina inexistente a un sitio web donde se
encuentra el código malicioso, que vuelve de nuevo a comprobar que el
sistema este infectado y que el usuario no haya eliminado los archivos que
facilitan su funcionamiento. |