PDA

Просмотр полной версии : Hijacker IEZones



Зайцев Олег
26.10.2004, 14:19
Сегодня мной пойман очередной Hijacker, который модифицирует настройки Internet Explorer. В отличие от типового Hijacker, меняющего стартовую страничку, этот заносит в список надежных узлов greg-search.com и в список ограниченных - штук 50 разных порносайтов (делая тем самым доброе дело, что Hijacker-ам совершенно чуждо).
Сам Hijacker имеет размер 11264 байта, сжат PeCompact, в поле производитель содержит "Melcosoft Corporation", имеет имя zone2.exe и располагается а папке Windows. Источник- сайт _http://t34rulit.com/_
На настоящий момент этот Hijacker не опознается Ad-aware 6.0, из антивирусов ее знает только Панда - под именем "Trj/EZones.A". Завтра я выпущу обновление AVZ, он там будет диагностироваться его как Hijacker.IEZone.a
Анализ по моей базе вирусов показал, что "Melcosoft Corporation" является автором TrojanDropper.Win32.Agent.ag (так записано в его копирайтах).

timmy
16.01.2005, 00:51
По поводу t34rulit.com:
Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
ЗЫ: прошу прощения если это оффтоп

Xen
16.01.2005, 01:08
Это не доброе дело, это борьба с конкурентами =))

Geser
16.01.2005, 07:40
По поводу t34rulit.com:
Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
ЗЫ: прошу прощения если это оффтоп


В наказание тебе нужно прислать нам тот файлик :) Если не удалил :(

Alexey P.
16.01.2005, 15:59
Уж не тот ли это greg, который Greg Hoglund, автор NT Rootkit, сервер www.rootkit.com.

И не его ли эти две штучки:
KAV*** Trojan-Downloader.Win32.Small.rr
greg-tut.com/G7/chm10.chm
DrWeb Trojan.DownLoader.3072
greg-tut.com/G7/chm9.chm

Alexey P.
16.01.2005, 16:02
В наказание тебе нужно прислать нам тот файлик :) Если не удалил :(
t34rulit.com/main.exe

Dr.Web (R) daemon for Linux, version 4.32.2 (2004-11-01)
restricted URL:
/main.exe
reason:
infected with Trojan.Cassandra

а файл inst.exe:
This is the report of the scanning done over "inst.exe" file
that VirusTotal processed on 01/16/2005 at 14:07:10.

Antivirus***Version******Update***Result***
AntiVir******6.29.0.7***01.14.2005***TR/Dldr.Tooncom.C.1***
AVG******718******01.16.2005***Downloader.Tooncom. AH***
BitDefender***7.0******01.16.2005***Trojan.Downloa der.Tooncom.P***
ClamAV******devel-20041205***01.16.2005***Trojan.Downloader.Tooncom-4***
DrWeb******4.32b******01.16.2005***-***
eTrust-Iris***7.1.194.0***01.15.2005***-***
eTrust-Vet***11.7.0.0***01.14.2005***-***
F-Prot******3.16a******01.14.2005***security risk named W32/[email protected]***
Kaspersky***4.0.2.24***01.16.2005***TrojanDownload er.Win32.Tooncom.p***
NOD32v2******1.973******01.16.2005***Win32/TrojanDownloader.Tooncom.P1***
Norman******5.70.10******01.15.2005***-***
Panda******8.02.00******01.16.2005***Adware/DNSErr***
Sybari******7.5.1314***01.16.2005***TrojanDownload er.Win32.Tooncom.p***
Symantec***8.0******01.16.2005***Downloader.Toonco m

08.02.2005, 14:52
После обновления Виндовс с официального сайта майкрософт, при запуске
Експлорера стартовые страницы стали
http://69.50.164.196/ и
http://letgohome.com/sp.htm?id=30957
На страницы Виндовса они не тянут. Так же в избранном появились ссылки с
названиями:
Casino http://69.50.164.196/?said=v09&q=casino
Diet Pills http://69.50.164.196/?said=v09&q=casino
Internet Search-Engine http://69.50.164.196/?said=v09
Viagra http://69.50.164.196/?said=v09
Poker http://69.50.164.196/?said=v09
Sports Betting http://69.50.164.196/?said=v09

Удалил эти страницы из "стартовой". Удалил эти адреса из
системного реестра и проверил компьютер на наличие вирусов.
Dr.Web 4.32b распознал следующие вирусы
Trojan. Backreg
Trojan. DowanLoader
Trojan. Cassandra
Trojan.Regger
Некоторые файлы я запаковал в архив. (могу прислать.)
Сегодня при запуске Експлорера снова начали грузиться вышеуказанные страницы.

Хотелось бы получить информацию о действии этих троянов с описанием где и
какие файлы они создают и как от этой дряни избавиться.

Кстати один из удаленных доктором вебом файлов имел имя zone02.exe(у Вас zone2) :'(

08.02.2005, 14:58
Еще сейчас выяснил, что в разделе "ограниченные узлы" сидит штук 40 порнушных сайтов!!!

pig
08.02.2005, 16:09
Внимательно прочитать и аккуратно выполнить:
http://virusinfo.info/index.php?board=26;action=display;threadid=20

Geser
08.02.2005, 16:24
Некоторые файлы я запаковал в архив. (могу прислать.)


Можно прислать для коллекции. В остальном без логов сказать ничего невозможно. Пожалуйста логи в новой теме.