-
Hijacker IEZones
Сегодня мной пойман очередной Hijacker, который модифицирует настройки Internet Explorer. В отличие от типового Hijacker, меняющего стартовую страничку, этот заносит в список надежных узлов greg-search.com и в список ограниченных - штук 50 разных порносайтов (делая тем самым доброе дело, что Hijacker-ам совершенно чуждо).
Сам Hijacker имеет размер 11264 байта, сжат PeCompact, в поле производитель содержит "Melcosoft Corporation", имеет имя zone2.exe и располагается а папке Windows. Источник- сайт _http://t34rulit.com/_
На настоящий момент этот Hijacker не опознается Ad-aware 6.0, из антивирусов ее знает только Панда - под именем "Trj/EZones.A". Завтра я выпущу обновление AVZ, он там будет диагностироваться его как Hijacker.IEZone.a
Анализ по моей базе вирусов показал, что "Melcosoft Corporation" является автором TrojanDropper.Win32.Agent.ag (так записано в его копирайтах).
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Hijacker IEZones
По поводу t34rulit.com:
Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
ЗЫ: прошу прощения если это оффтоп
-
-
Re:Hijacker IEZones
Это не доброе дело, это борьба с конкурентами =))
-
Re:Hijacker IEZones
Сообщение от
timmy
По поводу t34rulit.com:
Сегодня поймал где-то какую-то гадость, которая при каждом открытии/закрытии окна IE предлагала скачать с t34rulit.com файл main.exe. Ad-Aware и Spybot не помогли, только HijackThis ее нашел. В названии было что-то вроде greg_tut.
ЗЫ: прошу прощения если это оффтоп
В наказание тебе нужно прислать нам тот файлик Если не удалил
-
-
Re:Hijacker IEZones
Уж не тот ли это greg, который Greg Hoglund, автор NT Rootkit, сервер www.rootkit.com.
И не его ли эти две штучки:
KAV*** Trojan-Downloader.Win32.Small.rr
greg-tut.com/G7/chm10.chm
DrWeb Trojan.DownLoader.3072
greg-tut.com/G7/chm9.chm
-
-
Re:Hijacker IEZones
Сообщение от
Geser
В наказание тебе нужно прислать нам тот файлик
Если не удалил
t34rulit.com/main.exe
Dr.Web (R) daemon for Linux, version 4.32.2 (2004-11-01)
restricted URL:
/main.exe
reason:
infected with Trojan.Cassandra
а файл inst.exe:
This is the report of the scanning done over "inst.exe" file
that VirusTotal processed on 01/16/2005 at 14:07:10.
Antivirus***Version******Update***Result***
AntiVir******6.29.0.7***01.14.2005***TR/Dldr.Tooncom.C.1***
AVG******718******01.16.2005***Downloader.Tooncom. AH***
BitDefender***7.0******01.16.2005***Trojan.Downloa der.Tooncom.P***
ClamAV******devel-20041205***01.16.2005***Trojan.Downloader.Tooncom-4***
DrWeb******4.32b******01.16.2005***-***
eTrust-Iris***7.1.194.0***01.15.2005***-***
eTrust-Vet***11.7.0.0***01.14.2005***-***
F-Prot******3.16a******01.14.2005***security risk named W32/Tooncom.C@dl***
Kaspersky***4.0.2.24***01.16.2005***TrojanDownload er.Win32.Tooncom.p***
NOD32v2******1.973******01.16.2005***Win32/TrojanDownloader.Tooncom.P1***
Norman******5.70.10******01.15.2005***-***
Panda******8.02.00******01.16.2005***Adware/DNSErr***
Sybari******7.5.1314***01.16.2005***TrojanDownload er.Win32.Tooncom.p***
Symantec***8.0******01.16.2005***Downloader.Toonco m
-
-
А у меня вчера аж несколько объявилось! HELP ME PLIZZZZZZZZZZ!
После обновления Виндовс с официального сайта майкрософт, при запуске
Експлорера стартовые страницы стали
http://69.50.164.196/ и
http://letgohome.com/sp.htm?id=30957
На страницы Виндовса они не тянут. Так же в избранном появились ссылки с
названиями:
Casino http://69.50.164.196/?said=v09&q=casino
Diet Pills http://69.50.164.196/?said=v09&q=casino
Internet Search-Engine http://69.50.164.196/?said=v09
Viagra http://69.50.164.196/?said=v09
Poker http://69.50.164.196/?said=v09
Sports Betting http://69.50.164.196/?said=v09
Удалил эти страницы из "стартовой". Удалил эти адреса из
системного реестра и проверил компьютер на наличие вирусов.
Dr.Web 4.32b распознал следующие вирусы
Trojan. Backreg
Trojan. DowanLoader
Trojan. Cassandra
Trojan.Regger
Некоторые файлы я запаковал в архив. (могу прислать.)
Сегодня при запуске Експлорера снова начали грузиться вышеуказанные страницы.
Хотелось бы получить информацию о действии этих троянов с описанием где и
какие файлы они создают и как от этой дряни избавиться.
Кстати один из удаленных доктором вебом файлов имел имя zone02.exe(у Вас zone2) :'(
-
-
Дополнение
Еще сейчас выяснил, что в разделе "ограниченные узлы" сидит штук 40 порнушных сайтов!!!
-
-
-
-
Re:А у меня вчера аж несколько объявилось! HELP ME PLIZZZZZZZZZZ!
[quote author=Андрей link=board=22;threadid=173;start=0#msg6429 date=1107863577]
Некоторые файлы я запаковал в архив. (могу прислать.)
[/quote]
Можно прислать для коллекции. В остальном без логов сказать ничего невозможно. Пожалуйста логи в новой теме.
-