# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Hijacker IEZones

## Зайцев Олег

Сегодня мной пойман очередной Hijacker, который модифицирует настройки Internet Explorer. В отличие от типового Hijacker, меняющего стартовую страничку, этот заносит в  список надежных узлов greg-search.com и в список ограниченных - штук 50 разных порносайтов (делая тем самым доброе дело, что Hijacker-ам совершенно чуждо).
Сам Hijacker имеет размер 11264 байта, сжат PeCompact, в поле производитель содержит "Melcosoft Corporation", имеет имя zone2.exe и располагается а папке Windows. Источник- сайт _http://t34rulit.com/_
На настоящий момент этот Hijacker не опознается Ad-aware 6.0, из антивирусов ее знает только Панда - под именем "Trj/EZones.A". Завтра я выпущу обновление AVZ, он там будет диагностироваться его как Hijacker.IEZone.a
Анализ по моей базе вирусов показал, что "Melcosoft Corporation" является автором TrojanDropper.Win32.Agent.ag (так записано в его копирайтах).

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## timmy

По поводу *t34rulit.com*:
Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
ЗЫ: прошу прощения если это оффтоп

----------


## Xen

Это не доброе дело, это борьба с конкурентами =))

----------


## Geser

> По поводу *t34rulit.com*:
> Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
> ЗЫ: прошу прощения если это оффтоп


В наказание тебе нужно прислать нам тот файлик  :Smiley:  Если не удалил  :Sad:

----------


## Alexey P.

Уж не тот ли это greg, который Greg Hoglund,  автор  NT  Rootkit, сервер  www.rootkit.com.

 И не его ли эти две штучки:
KAV*** Trojan-Downloader.Win32.Small.rr
greg-tut.com/G7/chm10.chm
DrWeb Trojan.DownLoader.3072
greg-tut.com/G7/chm9.chm

----------


## Alexey P.

> В наказание тебе нужно прислать нам тот файлик  Если не удалил 
> t34rulit.com/main.exe


Dr.Web (R) daemon for Linux, version 4.32.2 (2004-11-01)
restricted URL:
/main.exe
reason:
 infected with Trojan.Cassandra

а файл inst.exe:
This is the report of the scanning done over "inst.exe" file
that VirusTotal processed on 01/16/2005 at 14:07:10.

Antivirus***Version******Update***Result***
AntiVir******6.29.0.7***01.14.2005***TR/Dldr.Tooncom.C.1***
AVG******718******01.16.2005***Downloader.Tooncom.  AH***
BitDefender***7.0******01.16.2005***Trojan.Downloa  der.Tooncom.P***
ClamAV******devel-20041205***01.16.2005***Trojan.Downloader.Tooncom-4***
DrWeb******4.32b******01.16.2005***-***
eTrust-Iris***7.1.194.0***01.15.2005***-***
eTrust-Vet***11.7.0.0***01.14.2005***-***
F-Prot******3.16a******01.14.2005***security risk named W32/[email protected]***
Kaspersky***4.0.2.24***01.16.2005***TrojanDownload  er.Win32.Tooncom.p***
NOD32v2******1.973******01.16.2005***Win32/TrojanDownloader.Tooncom.P1***
Norman******5.70.10******01.15.2005***-***
Panda******8.02.00******01.16.2005***Adware/DNSErr***
Sybari******7.5.1314***01.16.2005***TrojanDownload  er.Win32.Tooncom.p***
Symantec***8.0******01.16.2005***Downloader.Toonco  m

----------

После обновления Виндовс с официального сайта майкрософт, при запуске
Експлорера стартовые страницы стали
http://69.50.164.196/ и
http://letgohome.com/sp.htm?id=30957
На страницы Виндовса они не тянут. Так же в избранном появились ссылки с
названиями:
Casino       http://69.50.164.196/?said=v09&q=casino
Diet Pills    http://69.50.164.196/?said=v09&q=casino
Internet Search-Engine  http://69.50.164.196/?said=v09
Viagra        http://69.50.164.196/?said=v09
Poker        http://69.50.164.196/?said=v09
Sports Betting  http://69.50.164.196/?said=v09

Удалил эти страницы из "стартовой". Удалил эти адреса из
системного реестра и проверил компьютер на наличие вирусов.
 Dr.Web 4.32b распознал следующие вирусы
Trojan. Backreg
Trojan. DowanLoader
Trojan. Cassandra
Trojan.Regger
Некоторые файлы я запаковал в архив. (могу прислать.)
Сегодня при запуске Експлорера снова начали грузиться вышеуказанные страницы.

Хотелось бы получить информацию о действии этих троянов с описанием где и
какие файлы они создают и как от этой дряни избавиться.

Кстати один из удаленных доктором вебом файлов имел имя zone02.exe(у Вас zone2) :&#039;(

----------

Еще сейчас выяснил, что в разделе "ограниченные узлы" сидит штук 40 порнушных сайтов!!!

----------


## pig

Внимательно прочитать и аккуратно выполнить:
http://virusinfo.info/index.php?boar...ay;threadid=20

----------


## Geser

[quote author=Андрей link=board=22;threadid=173;start=0#msg6429 date=1107863577]
Некоторые файлы я запаковал в архив. (могу прислать.)

[/quote]
Можно прислать для коллекции. В остальном без логов сказать ничего невозможно. Пожалуйста логи в новой теме.

----------

