Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

JS/Seeker.J. Contagia a través de una página Web
 
VSantivirus No. 919 - Año 7 - Domingo 12 de enero de 2003

 JS/Seeker.J. Contagia a través de una página Web
http://www.vsantivirus.com/seeker-j.htm

Nombre: JS/Seeker.J
Tipo: Caballo de Troya de JavaScript
Alias: JS_SEEKER.J, SEEKER.J, JS.Trojan.Seeker-based, JS.Seeker.J
Fecha: 10/ene/03
Tamaño: 1,500 Bytes aprox.

Se trata de otra variante del JS/Seeker, un troyano de código encriptado, que contagia a través de la visualización de una página Web, y luego procede a realizar algunos cambios en nuestro registro para cambiar la página de inicio del Internet Explorer, por una con contenido adulto.

Esta versión intenta modificar además, las siguientes claves del registro:

HKEY_CURRENT_USER\Software

\Microsoft\Internet Explorer\Main\Start Page
\Microsoft\Internet Explorer\Main\First Home Page
\Microsoft\Internet Explorer\Main\Default_Page_URL
\Microsoft\Internet Explorer\Main\Search Page
\Microsoft\Windows\CurrentVersion\Run\(Predeterminada)
\Microsoft\Windows\CurrentVersion\Run\Start Page
\Policies\Microsoft\Internet Explorer\Control Panel\HomePage
\Policies\Microsoft\Internet Explorer\Control Panel\SecChangeSettings
\Microsoft\Windows\CurrentVersion\\RegisterOrganization
\Microsoft\Windows\CurrentVersion\\RegisterOwner
\Microsoft\Windows\CurrentVersion\\Policies\NoRun
\Microsoft\Windows\CurrentVersion\\Policies\System\DisableRegistryTools

También modifica el registro para que los últimos 15 sitios visitados sean el mismo sitio con contenido para adultos.

Intenta crear accesos directos (enlaces) a dicho sitio, en las siguientes carpetas (los enlaces están literalmente en "chino"):

Carpeta de Favoritos
C:\Windows\Application Data\Microsoft\Internet Explorer\Quick Launch
C:\Windows\Start Menu
C:\Windows\Desktop
C:\Windows\Start Menu\Programs


Para limpiar manualmente una computadora infectada

1. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter

2. Borre el contenido de las siguientes ramas del registro:

2.a Clave:

HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run

Borre esta(s) entrada(s):

(Predeterminado)
Start Page


2.b Clave:

HKEY_CURRENT_USER\SOFTWARE\Microsoft
\Windows\CurrentVersion\Policies\Explorer

Borre esta(s) entrada(s):

NoRun


2.c Clave:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows
\CurrentVersion\Policies\System

Borre esta(s) entrada(s):

DisableRegistryTools


2.d Clave:

HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft
\Internet Explorer\Control Panel

Borre esta(s) entrada(s):

HomePage
SecChangeSettings


2.e Clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

Borre esta(s) entrada(s):

RegisteredOrganization
RegisteredOwner


2.f Clave:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main

Borre esta(s) entrada(s):

Start Page
First Home Page
Default_Page_URL
Local Page
Search Page


3. Borre el enlace en idioma chino de estas carpetas:

C:\Windows\Favoritos

C:\Windows\Application Data\Microsoft
\Internet Explorer\Quick Launch

C:\Windows\Start Menu

C:\Windows\Desktop

C:\Windows\Start Menu\Programs


Referencias:

JS/Seeker.gen. Trojan de JavaScript
http://www.vsantivirus.com/seeker.htm

JS/Seeker.B. Modifica la configuración del IE
http://www.vsantivirus.com/seeker-b.htm

JS/Seeker.W. Variante del troyano Seeker en JavaScript
http://www.vsantivirus.com/seeker-w.htm


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS