La amenaza, identificada como Trojan.Qhost.WU, modifica el archivo hosts del ordenador infectado modificando localmente las direcciones IP correspondientes a los dominios de los servidores publicitarios. Este archivo es consultado antes de que el ordenador del usuario acceda a las páginas web.

El archivo modificado contiene una línea que redirecciona al servidor de la página web "page2.googlesyndication.com" que podría apuntar a una dirección IP con forma 6x.xxx.xxx.xxx a una dirección diferente 9x.xxx.xxx.xxx. El resultado es que el navegador del equipo lee los anuncios desde el servidor modificado en lugar de los proporcionados por Google.

Esta situación afecta tanto a usuarios como webmasters. Por un lado, los banners modificados pueden dirigir a los usuarios a páginas que contengan código malicioso y, por otro,. los webmasters pueden ver reducidos los ingresos generados a través de sus páginas web, ya que sus visitantes visualizan anuncios que han sido boicoteados por el troyano en lugar de los originales.

http://www.bitdefender.es