[Driftstörning] trojan.qhosts/qhosts-1/vbs.qhosts (Re: Dax
igen?) Case [206819.helpdesk @ caps.ita.chalmers.se]
Gunnar Lindberg
lindberg at cdg.chalmers.se
Fri Oct 3 07:32:34 CEST 2003
Det är nog dags igen, fast vettiga auto-rutiner för att ta hem anti-
virus borde klara det. Kort från några URLar (från SUNET CERTs
diskussionslista) följt av ett förslag på tillfällig åtgärd från samma
lista.
Att det existerar "farlig" HTML vet vi och detta är (ännu) ett sätt
att leda användaren dit (mera tekniskt än att locka dit honom).
Gunnar Lindberg
http://vil.nai.com/vil/content/v_100719.htm
The purpose of this trojan is to "hijack" browser use. When page
requests are made, they
are rerouted to specified Domain Name Servers. This allows a
remote "administrator" to
direct users to the pages of their choosing. For example, if an
infected user attempted to
navigate to http://www.google.com, they would be routed to a
different site.
This trojan is responsible for recent reports of strange DNS
changes on systems as
recently reported on NTBUGTRAQ. The operations of the trojan
are as follows:
1.A user is directed to a web site that contains
Exploit-ObjectData code. NOTE:
..
http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.html
Trojan.Qhosts is a trojan that will modify the TCP/IP settings to
point to a different DNS server.
Trojan.Qhosts does not have the ability to spread. For a machine
to become infected a user must open an html page
that contains the means to open the viral html file on the
target's machine such that the script is able to create and
run the malicious executable.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
>To: cert-diskussion at listserv.uu.se
>Subject: trojan.qhosts/qhosts-1/vbs.qhosts
>vad tycker ni om den då? Lade in snortregler för de 'dnsservrar' som
>finns i trojanbeskrivningarna, verkar vara en hel del träffar.
++++++
>http://securityresponse.symantec.com/avcenter/venc/data/trojan.qhosts.html
>http://vil.nai.com/vil/content/v_100719.htm
++++++
>Sprider sig via web-sidor, rekommenderad åtgärd: Stäng av active
>scripting.
>Internet Explorer:
>
>Välj: Verktyg - Internet alternativ - säkerhet - anpassad nivå --
>- Active scripting - Inaktivera - OK
>
>[Jag tror] att följande gäller för Netscape:
>
>Välj: Edit - Preferances - Advanced -
>Avaktivera "Enable native object scripting" - OK
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
>From ... Thu Oct 2 20:07:29 2003
>Message-ID: <3F7C6952.6A4175E2 at ....chalmers.se>
>Date: Thu, 02 Oct 2003 20:07:14 +0200
>From: ...
>To: lindberg at cdg.chalmers.se
>Subject: Dax igen?
>Hej Gunnar,
>Tar det aldrig slut.....
>I eftermiddags blev jag kallad till en användare som inte kunde komma
>åt
>något på webben. Visade sig att DNS:en hade blivit ändrad! Då
>användaren
>i fråga ibland "pillar" en hel del med datorn tänkte jag inte så mycket
>på det. Ett par timmar senare var det en annan användare med samma
>problem....
>Det ditsatta DNS-numret började på 68 (skulle förstås ha fört protokoll
>men...).
>Användare nummer två har alla uppdateringar samt XP:s brandvägg
>påslagen
>och har absolut inte "pillat" på datorn.
>Känner du till detta; någon hackar sig in på en dator, byter DNS för
>att
>omdirigera trafik(?). Eller är det bara datormysterier i allmänhet.
>Står
>vi inför något nytt elände?
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
More information about the Driftstorning
mailing list