Trojan/Qhost.if“Hosts劫持者”变种if是“Hosts劫持者”木马家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写。“Hosts劫持者”变种if可能被其它恶意程序复制为“%SystemRoot%\system32\userinit.exe”,以覆盖同名系统文件。如果“Hosts劫持者”变种if发现自己名为“userinit.exe”,则会启动桌面程序,以使用户正常登陆系统,同时也实现了开机自动运行的目的。“Hosts劫持者”变种if是一个木马下载工具,运行时会在被感染系统的后台连接经过多次解密后得到的骇客指定远程服务器地址“http://a1.5*8js.com/90330/”,下载大量的恶意程序并自动调用运行。其中,所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,致使用户面临更多的威胁。另外,“Hosts劫持者”变种if还会通过在被感染系统注册表启动项中添加键值“RsTray”的方式来实现开机自动运行。