Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: JS/Seeker.gen - Trojan de JavaScript
 
Domingo 5 de noviembre de 2000

Virus: JS/Seeker.gen
Alias: SEEKER.B, JS.Trojan.Seeker.b, JS/Seeker.B, JS_SEEKER.B
Fecha: 3/nov/00
Tipo: Trojan, JavaScript
Tamaño: 6,275 Bytes

Este trojan cambia la página por defecto y la página de búsqueda de su navegador. Requiere que esté instalado el WSH (Windows Scripting Host) para que funcione (ver en nuestro sitio, "Como deshabilitar el Windows Scripting Host").

Cuando se ejecuta, el virus pone la ventana del Explorer, detrás de otras ventanas (en segundo plano), aún cuando la ventana del Explorer sea la activa en ese momento.

Crea entonces el archivo RUNME.HTA en el menú de Inicio (C:\WINDOWS\Menú Inicio\Programas\Inicio). Este archivo será ejecutado en el próximo inicio de Windows. Otro archivo de nombre REMOVEIT.HTA será colocado en el raíz de C:\.

Cuando RUNME.HTA es ejecutado, el mismo crea dos archivos de registro, BACKUP1.REG y BACKUP2.REG, conteniendo copias del registro original que es modificado por el virus.

Otro archivo de registro, llamado HOMEREG111.REG es también creado. Este contiene la modificación al registro que permitirá dirigir la página de inicio del Explorer o el Netscape a la dirección http://www.JetHomePage.com. Estos archivos serán creados en el directorio C:\WINDOWS.

Luego es ejecutado el archivo REMOVEIT.HTA. Este borra el archivo RUNME.HTA en el directorio de inicio de Windows.

El virus está encriptado con el Windows Script Encoder de Microsoft, que permite encriptar páginas HTML, ASP y archivos WSH (Windows Script Host), de modo que no se pueda leer su código (un archivo HTML es fácilmente editable).

El trojan llega a nuestro PC como un archivo llamado "RUNME.HTA". Al abrirlo, es cuando se produce la infección.

Claves del registro modificadas

HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

Si existe:

HKCU\Software\Netscape\Netscape Navigator\Main\Home Page

Como eliminarlo manualmente

1) Examine su PC con un antivirus al día.

2) Vaya a Inicio, Buscar, teclee HOMEREG111.REG y bórrelo (suele aparecer en C:\Windows)

3) Vaya a Inicio, Buscar, teclee BACKUP1.REG. Si aparece (en C:\Windows), haga doble clic sobre él y conteste que sí cuando le pregunte si desea agregarlo al registro.

4) Repita el paso 3 con el archivo BACKUP2.REG.

5) Borre los archivos BACKUP1.REG y BACKUP2.REG.

6) Vaya a Inicio, Buscar, teclee REMOVEIT.HTA y bórrelo si aparece (en C:\).

7) Repita el paso anterior con el archivo RUNME.HTA, si este existe (C:\WINDOWS\Menú Inicio\Programas\Inicio).

Fuentes: McAfee y Trend Micro.

 

Copyright 1996-2000 Video Soft BBS