No es ninguna novedad observar la utilización de pharming local como un vector de ataque. Esta metodología maliciosa es empleada principalmente para realizar ataques de phishing pero, en ciertos casos, es utilizada para evitar la desinfección de un equipo ya afectado, bloqueando sitios de empresas antivirus o de descarga de herramientas de limpieza.

En el día a día analizamos cientos de amenazas, pero lo que nos llamó la atención de esta variante de Win32/Qhost en particular, es la modificación que realiza sobre el archivo hosts. Esta amenaza, luego de infectar el equipo, modifica dicho archivo llenándolo de texto misceláneo (código basura) el cual no afecta al funcionamiento del archivo original, ya que esas líneas de código se encuentras comentadas (comienzan con un numeral). Entre medio de todo ese código basura se pueden dilucidar lineas claras de dominios siendo direccionados a una misma dirección IP maliciosa.

Lo particular de una de estas lineas es que puntualmente busca bloquear el acceso al sitio de ESET Latinoamérica, como se observa a continuación:

Qhost bloquea sitios de ESET

Dicha acción es para evitar que un usuario que no posea la solución de ESET y que busca descargarla luego de infectarse no pueda hacerlo y solo logre abrir el sitio malicioso nuevamente. Esto no afecta a aquellos usuarios que poseen instaladas las soluciones de ESET ya que la amenaza es detectada al instante que intenta ingresar en el equipo, evitando cualquier alteración sobre el mismo.

Adicionalmente al sitio de ESET Latinoamérica, encontramos que en el archivo hosts también se intentan bloquear los siguientes dominios de la empresa:

  • www.eset.com
  • www.eset.eu
  • kb.eset.com
  • beta.eset.com
  • download.eset.com

Qhost bloquea sitios de ESET

Queda claro que tanto nuestros productos como nuestros artículos informativos en la ESET Knowledgebase, representan una potencial amenaza para las actividades ilegales que los atacantes buscan desarrollar, denotando la importancia de poseer una solución antivirus actualizada a la fecha y con detección proactiva, como es ESET NOD32 Antivirus.

Joaquín Rodriguez Varela
Sales Engineer