Данная угроза названа Trojan.Qhost.WU. Этот троян модифицирует на зараженном компьютере Hosts-файл с доменными именами и соответствующими им IP-адресами, которые передаются серверам доменных имен для загрузки того или иного содержимого из интернета.

Измененный файл содержит строку, переадресовывающую с хоста «page2.googlesyndication.com», которому должны соответствовать IP-адреса вида 6x.xxx.xxx.xxx, на другие адреса вида 9 x.xxx.xxx.xxx, таким образом, что браузеры зараженных рабочих станций вместо рекламных объявлений Google показывают объявления с сервера замененных адресов.

Вирусный аналитик BitDefender Аттила-Михели Балацс сообщил, что такой троян представляет собой двойную опасность: и для пользователя, потому что сайты, на которые ведут рекламные объявления, могут содержать вредоносный код (это весьма вероятная ситуация, поскольку для продвижения таких сайтов, в первую очередь, используются вредоносные программы), а также и для держателей рекламных площадок, потому что лишает их возможного заработка, уводя посетителей на другие сайты.