Trojan.Qhosts

http://www.symantec.com/security_response/writeup.jsp?docid=2003-100116-5901-99
修改hosts檔的 Trojan.Qhosts.F木馬 (資料來源：國家資通安全會報技服中心)

說明：

當 Trojan.Qhosts.F執行時，會產生下列動作：
1.變更下列檔案︰
　%System%\drivers\etc\hosts
2.替換上述檔案內容，為下列字串：
　91.184.6.104 pagead2.googlesyndication.com
3.改變hosts內容，使廣告需求從google網站變成惡意網站。
4.回傳偽造或惡意的廣告內容。

解決方案：

1.暫時關閉系統還原功能 (Windows Me/XP)
2.移除在hosts檔案中加入的所有項目：
　(a)於下列位置:
　　Windows 95/98/Me:%Windir%
　　Windows NT/2000/XP:%Windir%\System32\drivers\etc
(註)某些電腦可能沒有hosts檔或是檔案位置不同。也可能在不同位置擁有多個hosts檔。
若檔案不在上述資料夾中，請搜尋hosts檔，並於每個找到的hosts檔中，完成下列步驟。
　(b)點二下開啟 hosts檔案。
　(c)如有需要，取消選取「永遠用選取的程式來開啟這種檔案」(不打勾)。
　(d)捲動程式清單，以 Notepad(記事本)開啟。
　(e)當檔案開啟時，刪除此蠕蟲加入的項目。
　(f)關閉Notepad(記事本)並儲存。
3.更新病毒定義檔
4.執行全系統掃描
　(a)執行防毒軟體，並設定為執行全系統掃描
　(b)如果偵測到病毒，則採取防毒軟體所建議的步驟