Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie Trojan.Spambot.11349 und BackDoor.IRC.Aryan.1 gelangen.
Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im Systemverzeichnis von Windows, die für die Zuordnung von Host-Namen zu IPs verantwortlich ist. Durch eine Zuordnung beliebter Websites wie Facebook, Google, Yahoo usw. zu ein und derselben IP in der hosts-Datei wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm eine vermeintliche Sperrung seines Internetzugangs mitgeteilt wird. Die angebliche Entsperrung soll für 2 Euro durchgeführt werden, wofür die Betrüger sich die Kreditkartendaten des Opfers übermitteln lassen.
Pierre Curien von Doctor Web dazu: "Die Infektionswelle reißt nicht ab. Diesmal sind die deutschen Internetnutzer im Visier. Wir reagieren darauf und haben die Signatur für Trojan.Hosts.5858 in die Virendefinitionsdatei von Dr.Web bereits eingetragen. Somit kann der Trojaner erfolgreich aus dem System entfernt werden."
Doctor Web rät dazu, bei erneuten Lösegeldforderungen, eine wiederholte Systemprüfung mit Dr.Web CureIt! durchzuführen oder die Datei Windows\System32\Drivers\etc\hosts zu editieren und unnötige Eintragungen zu löschen.