Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: JS/Zopa.A. Troyano en JavaScript en páginas o mensajes
 
VSantivirus No. 365 - Año 5 - Domingo 8 de julio de 2001

Nombre: JS/Zopa.A
Tipo: Caballo de Troya de JavaScript
Alias: JS_ZOPA.A, JS.ZOPA.A, ZOPA.A, ZOPA
Tamaño: 1,365 bytes
Fecha: 4/jul/01

Se trata de un caballo de Troya en JavaScript, que utiliza una conocida falla en un componente ActiveX para modificar las páginas de inicio y de búsqueda del Internet Explorer.

También agrega un acceso directo en la carpeta "Favoritos" apuntando a la misma dirección.

La vulnerabilidad es explotada en sistemas con el Internet Explorer 5.5 y Microsoft Outlook u Outlook Express. Esta falla permite que un objeto ActiveX o un script malicioso (o ambos), sean ejecutados simplemente por acceder a determinada página en un sitio Web, o al abrir ciertos mensajes de correo electrónico conteniendo formato HTML.

El troyano, escrito en JavaScript, está embebido en el código HTML de esa página o mensaje con formato. Cuando una página o mensaje infectado, es visualizado por el Explorer, o el Outlook, el troyano se ejecuta.

No posee rutina destructiva alguna, y solo realiza los cambios en el registro que se explican a continuación.

Lo primero que modifica en el registro de Windows, son los datos para una nueva página de inicio y otra de búsqueda en el IE:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = http://zoekpagina.50megs.com
Search Page = http://home.microsoft.com/nl/access/allinone.asp
Search Bar = http://home.microsoft.com/search/search.asp

HKCU\Software\Microsoft\Internet Explorer\Search
SearchAssistant = http://zoekpagina.50megs.com/search.htm

HKLM\Software\Microsoft\Internet Explorer\Search
SearchAssistant = http://zoekpagina.50megs.com/search.htm

Luego, agrega una entrada con el nombre "Belangrijk" a la carpeta de "Favoritos", con un acceso directo a http://zoekpagina.50megs.com


Como sacar el troyano de un sistema infectado

Para limpiar un sistema infectado, ejecute un antivirus al día, borre la página o el mensaje infectado, y cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia.

Luego, utilizando REGEDIT (Inicio, Ejecutar, escriba REGEDIT más Enter), siga los siguientes pasos:

1. Vaya a:

HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Main

2. Borre en la ventana de la derecha la entrada "Search Bar".

3. Modifique el valor en "Search Page". Donde dice:

http://home.microsoft.com/nl/access/allinone.asp

Escriba lo siguiente:

http://home.microsoft.com/intl/es/access/allinone.asp

4. Vaya a:

HKEY_CURRENT_USER
Software
Microsoft
Internet Explorer
Search

5. Borre en la ventana de la derecha la entrada "SearchAssistant"

6. Vaya a:

HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Internet Explorer
Search

7. Modifique en la ventana de la derecha el valor de "SearchAssistant", donde dice:

http://zoekpagina.50megs.com/search.htm

Escriba lo siguiente:

http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm


Fuente: Trend Micro
(c) Video Soft - http://www.videosoft.net.uy

 

Copyright 1996-2001 Video Soft BBS