Detectan un nuevo troyano que secuestra los banners de publicidad con texto de Google reduciendo sus beneficios

BitDefender anuncia que los analistas antivirus han detectado un nuevo troyano que secuestra los banners de publicidad con texto de Google, reemplazándolos por anuncios de otro proveedor. La amenaza, identificada como Trojan.Qhost.WU, modifica el archivo Hosts del ordenador infectado modificando localmente las direcciones IP correspondientes a los dominios de los servidores publicitarios correspondientes. Este archivo es consultado antes de que el ordenador del usuario acceda a las páginas web.

El archivo modificado contiene una línea que redirecciona al servidor de la página web "page2.googlesyndication.com" que podría apuntar a una dirección IP con forma 6x.xxx.xxx.xxx a una dirección diferente 9x.xxx.xxx.xxx. El resultado es que el navegador del equipo lee los anuncios desde el servidor modificado en lugar de los proporcionados por Google.

Esta situación afecta tanto a usuarios como webmasters. Por un lado, los banners modificados pueden dirigir a los usuarios a páginas que contengan código malicioso. Por otro, los webmasters pueden ver reducidos los ingresos generados a través de sus páginas web, ya que sus visitantes visualizan anuncios que han sido boicoteados por el troyano en lugar de los anuncios originales.

Fuente (http://www.laflecha.net/canales/seguridad/noticias/detectan-un-nuevo-troyano-que-secuestra-los-banners-de-publicidad-con-texto-de-google-reduciendo-sus-beneficios)

Hola andresmix,

Muchas gracias por compartir la noticia :Bien:

Justamente en el día de hoy nos hicieron llegar unas muestras a nuestro Canal 33 de InfoSpyware en BC (http://www.bleepingcomputer.com/submit-malware.php?channel=33) las cuales estaba analizando y hasta ahora los resultados de este malwares son los siguientes:

-------------

El Malware QHost se distribuye en un archivos infectador llamado Host.exe el cual al entrar en nuestras PCs se renombra como Svchost.exe (suplantando al archivo Svchost.exe legitimo de nuestro sistema)

La idea consiste en desviar el archivo de Host de modo que las búsquedas Google puedan ser redirigidas a 194.54.90.238. al igual que redireccionar los anuncios de Google si nuestra maquina se encuentra infectada.

El malware renombrara a nuestro archivo original con el nombre de svchost.exe.bak y también genera otro copia de si mismo con el nombre de svchost.exe.orig



Por lo que cuando nuestro sistema esta infectado quedaría con estos archivos:


C:\WINDOWS\system32\host.exe <- El que infecta nuestra PC.
C:\WINDOWS\system32\svchost.exe <- Se convierte en este y suplanta al legitimo.
C:\WINDOWS\system32\svchost.exe.orig <- Crea otra copia del malware con este nombre.

C:\WINDOWS\system32\svchost.exe.bak <- Y por ultimo así deja a nuestro archivo original



Donde podemos contagiarnos de este del Malware QHost ??


Principalmente es distribuido por email Spamers
En redes de archivos P2P
Miles de sitios webs maliciosos.



*IMPORTANTE* Recuerden que el archivo Svchost.exe es legitimo y necesario para el bun funcionamiento del sistema.

Al iniciarse, Svchost.exe comprueba la parte de servicios del Registro para elaborar la lista de servicios que necesita cargar. Se pueden ejecutar múltiples instancias de Svchost.exe al mismo tiempo. Cada sesión de Svchost.exe puede contener un conjunto de servicios, para que se puedan ejecutar servicios autónomos, en función de cómo y cuándo se inició Svchost.exe. Esto permite un control mejor y una depuración más sencilla.

Por lo que recomendamos no borrar este archivo y pedir ayuda en el Foro de HJT. (http://www.forospyware.com/foro-oficial-de-hijackthis-en-espanol/)



Análisis del archivos infectados con Virus-Total:

Análisis del archivo svchost.exe recibido el 21.12.2007 01:32:44 (CET)

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 HEUR/Malware
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 -
BitDefender 7.2 2007.12.21 -
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.21 -
DrWeb 4.44.0.09170 2007.12.20 Trojan.Qhost.45080
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.21 -
Fortinet 3.14.0.0 2007.12.20 -
F-Prot 4.4.2.54 2007.12.20 W32/Heuristic-166!Eldorado
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.21 -
Kaspersky 7.0.0.125 2007.12.21 Trojan.Win32.Qhost.abm
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 -
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.21 -
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.21 -
Symantec 10 2007.12.21 -
TheHacker 6.2.9.166 2007.12.20 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 -
Webwasher-Gateway 6.6.2 2007.12.21 Heuristic.Malware
Información adicional
Tamano archivo: 17713 bytes
MD5: 27a66e757bacfe26dad1bd4be16bc340
SHA1: ead9a6b3e83cdbe65462988c695a517186eccedf
PEiD: -






Análisis del archivo host.exe recibido el 21.12.2007 01:36:49 (CET)

AhnLab-V3 2007.12.21.10 2007.12.20 -
AntiVir 7.6.0.46 2007.12.20 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 -
AVG 7.5.0.503 2007.12.20 SHeur.AHOR
BitDefender 7.2 2007.12.21 BehavesLike:Win32.Malware
CAT-QuickHeal 9.00 2007.12.20 Trojan.Qhost.acb
ClamAV 0.91.2 2007.12.21 -
DrWeb 4.44.0.09170 2007.12.20 Trojan.Qhost.45080
eSafe 7.0.15.0 2007.12.20 Suspicious File
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 -
FileAdvisor 1 2007.12.21 -
Fortinet 3.14.0.0 2007.12.20 W32/Qhost.ABM!tr
F-Prot 4.4.2.54 2007.12.20 W32/Heuristic-162!Eldorado
F-Secure 6.70.13030.0 2007.12.20 Trojan.Win32.Qhost.acb
Ikarus T3.1.1.15 2007.12.21 Trojan.Win32.Qhost.acb
Kaspersky 7.0.0.125 2007.12.21 Trojan.Win32.Qhost.acb
McAfee 5190 2007.12.20 -
Microsoft 1.3109 2007.12.20 Trojan:Win32/Anomaly.gen!A
NOD32v2 2739 2007.12.20 -
Norman 5.80.02 2007.12.20 W32/Qhost.CYD
Panda 9.0.0.4 2007.12.20 -
Prevx1 V2 2007.12.21 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 20.23.32.00 2007.12.20 Trojan.Win32.QHost.abc
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.21 Trojan.Crypt.XPACK.Gen
Symantec 10 2007.12.21 -
TheHacker 6.2.9.166 2007.12.20 Trojan/Qhost.acb
VBA32 3.12.2.5 2007.12.20 Trojan.Qhost.45080
VirusBuster 4.3.26:9 2007.12.20 Trojan.DR.QHosts.CQ
Webwasher-Gateway 6.6.2 2007.12.21 Trojan.Crypt.XPACK.Gen
Información adicional
Tamano archivo: 5174 bytes
MD5: 08e0af8f1bcbf42de37e3678ba9179e4
SHA1: 2de83eb25937cde1574c0e08e19bac34819480b1
PEiD: -
packers: PecBundle, PECompact
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=92EF54B8360460EB142000846 5CB98004E4A3EC4


Como el malware se encarga de alterar nuestro archivos Host para poder redireccionar no solo en las publicidades de Google sino también en los resultados de sus búsquedas, si ejecutamos HijackThis podremos ver dentro del log:

Reporte de HijackThis infectado por Malware QHost

O1 - Hosts: 194.54.90.238 www.google.com
O1 - Hosts: 194.54.90.238 www.google.ca
O1 - Hosts: 194.54.90.238 www.google.com.ag
O1 - Hosts: 194.54.90.238 www.google.com.ar
O1 - Hosts: 194.54.90.238 www.google.com.au
O1 - Hosts: 194.54.90.238 www.google.at
O1 - Hosts: 194.54.90.238 www.google.az
O1 - Hosts: 194.54.90.238 www.google.be
O1 - Hosts: 194.54.90.238 www.google.com.br
O1 - Hosts: 194.54.90.238 www.google.vg
O1 - Hosts: 194.54.90.238 www.google.bi
O1 - Hosts: 194.54.90.238 www.google.ca
O1 - Hosts: 194.54.90.238 www.google.td
O1 - Hosts: 194.54.90.238 www.google.cl
O1 - Hosts: 194.54.90.238 www.google.com.co
O1 - Hosts: 194.54.90.238 www.google.co.cr
O1 - Hosts: 194.54.90.238 www.google.dk
O1 - Hosts: 194.54.90.238 www.google.com.do
O1 - Hosts: 194.54.90.238 www.google.fm
O1 - Hosts: 194.54.90.238 www.google.fi
O1 - Hosts: 194.54.90.238 www.google.fr
O1 - Hosts: 194.54.90.238 www.google.gm
O1 - Hosts: 194.54.90.238 www.google.ge
O1 - Hosts: 194.54.90.238 www.google.de
O1 - Hosts: 194.54.90.238 www.google.com.gi
O1 - Hosts: 194.54.90.238 www.google.com.gr
O1 - Hosts: 194.54.90.238 www.google.gl
O1 - Hosts: 194.54.90.238 www.google.gg
O1 - Hosts: 194.54.90.238 www.google.co.il
O1 - Hosts: 194.54.90.238 www.google.it
O1 - Hosts: 194.54.90.238 www.google.co.kr
O1 - Hosts: 194.54.90.238 www.google.lu
O1 - Hosts: 194.54.90.238 www.google.mw
O1 - Hosts: 194.54.90.238 www.google.ro
O1 - Hosts: 194.54.90.238 www.google.se
O1 - Hosts: 194.54.90.238 www.google.co.uk
O1 - Hosts: 194.54.90.238 www.google.uz
O1 - Hosts: 194.54.90.238 google.com
O1 - Hosts: 194.54.90.238 google.ca
O1 - Hosts: 194.54.90.238 google.com.ag
O1 - Hosts: 194.54.90.238 google.com.ar
O1 - Hosts: 194.54.90.238 google.com.au
O1 - Hosts: 194.54.90.238 google.at
O1 - Hosts: 194.54.90.238 google.az
O1 - Hosts: 194.54.90.238 google.be
O1 - Hosts: 194.54.90.238 google.com.br
O1 - Hosts: 194.54.90.238 google.vg
O1 - Hosts: 194.54.90.238 google.bi
O1 - Hosts: 194.54.90.238 google.ca
O1 - Hosts: 194.54.90.238 google.td
O1 - Hosts: 194.54.90.238 google.cl
O1 - Hosts: 194.54.90.238 google.com.co
O1 - Hosts: 194.54.90.238 google.co.cr
O1 - Hosts: 194.54.90.238 google.dk
O1 - Hosts: 194.54.90.238 google.com.do
O1 - Hosts: 194.54.90.238 google.fm
O1 - Hosts: 194.54.90.238 google.fi
O1 - Hosts: 194.54.90.238 google.fr
O1 - Hosts: 194.54.90.238 google.gm
O1 - Hosts: 194.54.90.238 google.ge
O1 - Hosts: 194.54.90.238 google.de
O1 - Hosts: 194.54.90.238 google.com.gi
O1 - Hosts: 194.54.90.238 google.com.gr
O1 - Hosts: 194.54.90.238 google.gl
O1 - Hosts: 194.54.90.238 google.gg
O1 - Hosts: 194.54.90.238 google.co.il
O1 - Hosts: 194.54.90.238 google.it
O1 - Hosts: 194.54.90.238 google.co.kr
O1 - Hosts: 194.54.90.238 google.lu
O1 - Hosts: 194.54.90.238 google.mw
O1 - Hosts: 194.54.90.238 google.ro
O1 - Hosts: 194.54.90.238 google.se
O1 - Hosts: 194.54.90.238 google.co.uk
O1 - Hosts: 194.54.90.238 google.uz
O1 - Hosts: 194.54.90.238 search.yahoo.com
O1 - Hosts: 194.54.90.238 de.search.yahoo.com
O1 - Hosts: 194.54.90.238 search.msn.com
O1 - Hosts: 194.54.90.238 search.msn.de
O1 - Hosts: 194.54.90.238 search.live.com
O1 - Hosts: Ðm ìð «7‘

De nada serviría limpiar nuestro archivo Host o quitar estas entradas desde HijackThis ya que el malware se encargaría de regenerarlos en el próximo reinicio y para desinfectar este primero hay que limpiar los archivos, pero procurando parchar nuestro archivo Svchost.exe nuevamente para que nuestro PC pueda seguir funcionando.

-------------------

SI LAMENTABLEMENTE SU EQUIPO YA FUE INFECTADO POR ESTE TIPO DE PARÁSITO POR FAVOR NO PIDA AYUDA EN ESTE TEMA QUE ES NETAMENTE INFORMATIVO Y SIGA LOS PASO DE ESTE ARTICULO PARA 11 Pasos para desinfectar Malwares (http://www.forospyware.com/t8.html), O PIDA AYUDA CREANDO UN NUEVO TEMA EN EL FORO.

Creo que este es un caso de este troyano:

¿Como elimino un troyano con Hijackthis? (http://www.forospyware.com/t135639.html)

Corrijanme si me equivoco.

Saludos :adios:

;583216']Creo que este es un caso de este troyano:

¿Como elimino un troyano con Hijackthis? (http://www.forospyware.com/t135639.html)

Corrijanme si me equivoco.

En realidad es un infección similar pero por una variante del Malware Delf y no de este QHost.

El Malware Delf si bien en ese caso modifico el archivo host del usuario esto no es tan común en todas sus variantes, pero si tiene muchas y es parte de una gran familia de malwares que desde hace tiempo se sigue mejorando y cambiando para hacer mas difícil su detección y eliminación.

Una de las variantes que podes encontrar en el foro de Delf.BHO que mas se están dando últimamente es la de las redirecciones de los resultados de Google hacia un sitio llamado "Search-Daily"

Este es muy difícil de eliminar ya que usa técnicas de Rootkit par esconder sus archivos y procesos del escaneo normal de un Antivirus.

En HijackThis lo podemos ver su archivo aleatorio en las entradas 02 y en ocasiones en entradas 04 y 020, pero no podemos ver los otros archivos Rootkits (http://www.infospyware.com/rootkits.htm) con este así como tampoco podemos borrar los archivos ya que el Rootkit los vuelve a generar y para eso ya necesitamos el uso de otras herramientas.

Salu2

Hola, muy buenas!

Lo de la modificación en los archivos hosts no lo entiendo muy bien.. se que si en mi archivo host escribo una linea con la dirección del sitio web y la ip localhost (127.0.0.1) me bloquea la entrada a ese sitio web, una utilidad muy util con paginas maliciosas que utiliza spybot..

Pero lo que no entiendo es que función tiene cuando pone la direccion web y una ip diferente, te redirecciona a esa ip al entrar en la direccion web o como es esto??

Por ejemplo el caso 1:

O1 - Hosts: 194.54.90.238 www.google.com

Quiere decir que si entro en http://www.google.com/ me va a redireccionar a 194.54.90.238??????

Contesten plis!

Un saludo y gracias por la ayuda.

Hola ferlahozseg,

Respondiendo a tu pregunta, la respuesta es SI. :afirmar:

Mediante el archivo HOST de Win podemos tanto bloquear el acceso a determinado sitio web o redirigir de uno a otro como pones en tu ejemplo.

Esta modificación es muy común por varios tipos de malware y sobre todos los con funciones de Hijackers que se apoderan de las paginas de inicio y los resultados de las búsquedas.

Para limpiar el archivo Host, contamos con una herramienta de nuestra creación llamada IniRem

Salu2

Muchas gracias por la información!!

Si tienes linux en tu PC no tienes de que preocuparte de que se te infecte tu computadora o no.

Bueno me parece una informacion muy buena, muy buena, ahora lo que me llama la intencion es el pensamiento que estan tomando los crackers con sus malware, que es usar y dirijirse a lo que usa mas el usuario en la web, por ejemplo el navegador IE, el buscador GOOGLE, el messenger MSN LIVE, y asi, creo que pues las compañias de seguridad como antivirus y proteccion informatica deberian de dar mas consejos o darlos a conocer a los navegadores.

Wow, probablemente este era el virus lesbiano que me afectaba. Aparecía en cualquier página con publicidad. Se me hizo sospechoso que ese banner estuviese en páginas todo público.