|
VSantivirus No. 418 - Año 5 - Jueves 30 de agosto de 2001
Nombre: JS/Seeker.B
Tipo: Caballo de Troya en JavaScript
Alias: JS.Seeker.B, Troj/JetHome-B, JS/Seeker.gen, JS.Trojan.Seeker.b
Fecha: 22/ago/01
Este troyano cambia la página por defecto y la página de búsqueda de su navegador. Requiere que esté instalado el WSH (Windows Scripting Host) para que funcione (ver en nuestro sitio, "24/feb/01 - Algunas recomendaciones sobre los virus escritos en VBS").
Cuando se ejecuta, el virus pone la ventana del Explorer, detrás de otras ventanas (en segundo plano), aún cuando la ventana del Explorer sea la activa en ese momento.
Crea entonces el archivo RUN.HTA en el menú de Inicio
(C:\WINDOWS\Menú Inicio\Programas\Inicio). Este archivo será ejecutado en el próximo inicio de Windows.
También crea y ejecuta el archivo:
C:\Windows\Homereg111.reg
Al ejecutar este archivo, se crean en el registro las siguientes modificaciones, relacionadas con la configuración del Internet Explorer:
HKCU\Software\Microsoft\Internet Explorer\Main\
Search Bar = [página Web con contenido adulto]
Default_Search_URL = [página Web con contenido adulto]
Search Page = [página Web con contenido adulto]
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\
SearchAssistant = [página Web con contenido adulto]
También se crea en los favoritos, un enlace con el título
"Search The Web", que apunta a la misma página Web vista antes.
Para eliminar manualmente una infección producida por este troyano, ejecute uno o dos antivirus al día, borre los archivos infectados, y asegúrese de no tener el archivo
C:\WINDOWS\Menú Inicio\Programas\Inicio\RUN.HTA. Si existe, bórrelo y luego vuelva a correr un antivirus.
Para volver a la normalidad la configuración del Internet Explorer, seleccione Herramientas, General y coloque en Página de inicio la de su preferencia, o seleccione Predeterminada o Usar página en blanco.
Luego, seleccione el menú Búsqueda y seleccione Personalizar (se debe conectar a Internet).
Si no se tiene instalado el Windows Scripting Host, el virus no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:
VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS
Ver también:
05/nov/00 - Virus: JS/Seeker.gen. Trojan de JavaScript
Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy
|
|