В немецком сегменте Интернета, специалистами компании «Доктор Веб» был обнаружен очередной образец трояна Trojan.Hosts.5858. Основной целью обнаруженного образца является получение прибыли за разблокировку доступа к определенным веб-ресурсам сети Интернет. После своего запуска, Trojan.Hosts.5858 модифицирует системный файл "hosts", расположенный в подкаталогах системной директории Windows ("\System32\Drivers\etc") и отвечающий за трансляцию сетевых адресов сайтов в их DNS-имена. В результате при попытке перейти на один из популярных интернет-ресурсов, таких как Facebook, Google, Yahoo и т. д., браузер автоматически перенаправляет на специально созданную злоумышленниками веб-страницу, сообщающую на немецком языке о том, что доступ к Интернет заблокирован. Для «разблокировки» пользователю предлагается произвести оплату путем ввода реквизитов банковской карты. По мнению специалистов, обнаруженный образец Trojan.Hosts.5858 устанавливался в уже инфицированную бэкдором Backdoor.Andromeda систему. Бэкдор Backdoor.Andromeda распространяется через вредоносное внедрение в веб-сайты, доступ к которым получает через скомпрометированные учетные записи программы WinSCP. Кроме Trojan.Hosts.5858 в систему также могут быть установлены другие виды троянов, такие как Trojan.Spambot.11349 или Backdoor.IRC.Aryan.1. Видимо, по причине низкой популярности программы WinSCP, злоумышленники решили применить другие способы распространения вирусов - через спам рассылку (Trojan.Spambot.11349) и инфицирование сменных носителей (Backdoor.IRC.Aryan.1).
Источник