Troj/Qhosts-1 ist ein Trojaner, der die Einstellungen des Windows Primary DNS Servers so ändert, dass alle infizierten Rechner denselben Host für DNS-Anfragen verwenden. Wenn die Anzahl der infizierten Computer hoch ist, kann er effektiv eine Denial-of-Service-Attacke auf dem DNS-Server starten.
Troj/Qhosts-1 klinkt sich außerdem in die Anwendung des Internet Explorer Browsers ein, so dass Internetanfragen an den Server weitergeleitet werden, den der Trojanerautor ausgewählt hat. Der Trojaner wird installiert und gestartet, wenn ein Anwender eine Website besucht, die eine Schwachstelle im Internet Explorer ausnutzt. Ein in der Webseite eingebettetes VB-Skript wird automatisch gestartet, sobald die Webseite mit dem Internet Explorer angesehen wird.
Microsoft hat ein Patch für die Schwachstelle zur Verfügung gestellt, die dieser Trojaner ausnutzt. Das Patch steht zur Verfügung unter:
href="http://www.microsoft.com/technet/security/bulletin/MS03-040.asp">http://www.microsoft.com/technet/security/bulletin/MS03-040.asp
Das VB-Skript legt die Datei aolfix.exe im temporären Ordner des Benutzers ab und startet sie. Aolfix.exe ist eine Windows-Batchdatei, die mit Hilfe einer Demo-Version des Programms Batch File Compiler V5.1 in das Windows Binärprogramm konvertiert wird. Aolfix.exe erstellt den versteckten Ordner bdtmp\tmp, extrahiert eine Batchdatei mit einem zufälligen Namen und startet die Batchdatei.
Die Batchdatei erstellt mehrere Dateien im Windows-Ordner. Die Datei Hosts ist für das Einklinken in den Internet Explorer verantwortlich. Troj/Qhosts-1 kopiert die Datei HOSTS in den Ordner <Windows>\Help und fügt die originale HOST-Datei an sie an.
Der Trojaner ändert die Registrierungswerte
HKLM\System\ControlSet001\Services\Tcpip\ Parameters\DataBasePath and
HKLM\System\ControlSet002\Services\Tcpip\ Parameters\DataBasePath
Dadurch verwendet das System die Trojanerkopien der HOSTS-Dateien. Es gibt wenig bekannte Varianten des Trojaners. Je nach der Variante, kann der Trojaner auch andere Registrierungswerte setzen, z. B.
HKLM\System\CurrentControlSet\Services\VxD\MSTCP
EnableDNS = 1
NameServer = 216.127.92.38 or 69.57.146.14, 69.57.147.175
Hostname = "host"
Domain= "mydomain.com"
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable= 00000000
MigrateProxy=00000000
HKCU\Software\Microsoft\Internet Explorer\Main
Use Search Asst=no
Search Page= http://www.google.com
Search Bar=http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\SearchURL
""="http://www.google.com/keyword/
provider=gogl
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search
SearchAssistant=http://www.google.com/ie
HKLM\SYSTEM\ControlSet001\Services \Tcpip\Parameters\interfaces\windows
r0x=your s0x
HKLM\SYSTEM\ControlSet002\Services \Tcpip\Parameters\interfaces\windows
r0x=your s0x
Einige Varianten legen das VB-Skript o.vbs im Windows-Ordner ab und starten es. Das Skript versucht, mit Hilfe von Windows Management Instrumentation die Einstellungen des Primary DNS Servers für die Netzwerkschnittstelle zu ändern