Kaspersky Threats — Seeker-based

Clase

Plataforma

Descripción

Detalles técnicos

El programa troyano modifica la página de inicio de Internet Explorer y agrega nuevos enlaces a 'Favoritos' sin el conocimiento o el consentimiento del usuario.

El troyano está escrito en JavaScript. Localiza documentos de hipertexto en sitios web y en correos electrónicos. Solo funciona si la compatibilidad del navegador con JavaScript está habilitada.

Carga útil

El troyano modifica las siguientes claves de registro del sistema:

[HKCUSoftwareMicrosoftInternet ExplorerMain]
[HKLMSoftwareMicrosoftInternet ExplorerMain]
"Página de inicio" = " "

Nuevos ejemplos de parámetros:

http: //joblist.***.ru/redir.html
http: //zavarka.***/gift.htm
http: //sety.***.ru/post.html
http: //ok***.ok999.net

El troyano también crea accesos directos con URL en los siguientes directorios:

% De documentos y configuración% Todos los usuariosFavoritos
% Documents and Settings% All UsersStart Menu
% Documents and Settings% All UsersDesktop

%Documentos y configuraciones% Favoritos
%Documentos y configuraciones% Menu de inicio
%Documentos y configuraciones% Escritorio

% WinDir% ProfilesTodos los usuariosFavoritos
% WinDir% ProfilesTodos los usuarios Menú de inicio
% WinDir% ProfilesAll UsersDesktop

Ejemplos de archivos creados por el troyano:

SuperNavigator.URL (http: //joblist.***.ru/redir.htm)
– = Absolutno luchshaya KHALYAVA = -. URL (http: //zavarka.***/gift.htm)
Znakomstva-Razvlecheniya-Chat.URL (http: //www.zavarka.***)
– Vse dlya dosuga -.URL (http: //sety.***.ru/post.html)

(Los nombres de los archivos están escritos en cirílico)

El troyano también modifica los siguientes valores de registro del sistema:

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"No Run" = BINARIO: 01
"NoClose" = BINARIO: 01
"NoLogOff" = BINARIO: 01
"NoDrives" = DWORD: 67108863
"NoDesktop" = DWORD: 00000001
"NoSaveSettings" = BINARIO: 00
"NoViewContextMenu" = BINARIO: 01
"NoTrayContextMenu" = BINARIO: 01
"RestrictRun" = DWORD: 00000001
"NoSetFolders" = DWORD: 01000000
"NoFind" = DWORD: 00000001
"NoFavoritesMenu" = DWORD: 00000001
"NoRecentDocsMenu" = DWORD: 00000001
"NoSetTaskbar" = DWORD: 00000001

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools" = DWORD: 00000001
"NoDevMgrPage" = DWORD: 00000001

[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp]
"Desactivado" = DWORD: 00000001
"NoRealMode" = DWORD: 00000001

[HKLMEnumPCI]
"ChannelOptions" = BINARIO: 02

[HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions]
"NoBrowserClose" = DWORD: 01

[HKCUControl PanelInternational]
"stimeformat" = "HH: mm: ss tt"

Estas modificaciones pueden afectar la estabilidad de Windows.

Instrucciones de eliminación

Deshabilitar JavaScript en la configuración del navegador:
Elimine los archivos creados por el troyano de los siguientes directorios:

% De documentos y configuración% Todos los usuariosFavoritos
% Documents and Settings% All UsersStart Menu
% Documents and Settings% All UsersDesktop

%Documentos y configuraciones% %Documentos y configuraciones% %Documentos y configuraciones%
% WinDir% ProfilesTodos los usuariosFavoritos
% WinDir% ProfilesTodos los usuarios Menú de inicio
% WinDir% ProfilesAll UsersDesktop
Revertir las claves de registro modificadas a sus valores originales
Actualice sus bases de datos antivirus y realice una exploración completa de la computadora ( descargue una versión de prueba aquí).

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Trojan
Plataforma	JS
Descripción	Detalles técnicos El programa troyano modifica la página de inicio de Internet Explorer y agrega nuevos enlaces a 'Favoritos' sin el conocimiento o el consentimiento del usuario. El troyano está escrito en JavaScript. Localiza documentos de hipertexto en sitios web y en correos electrónicos. Solo funciona si la compatibilidad del navegador con JavaScript está habilitada. Carga útil El troyano modifica las siguientes claves de registro del sistema: [HKCUSoftwareMicrosoftInternet ExplorerMain] [HKLMSoftwareMicrosoftInternet ExplorerMain] "Página de inicio" = " " Nuevos ejemplos de parámetros: http: //joblist.*.ru/redir.html http: //zavarka./gift.htm http: //sety..ru/post.html http: //ok.ok999.net El troyano también crea accesos directos con URL en los siguientes directorios: % De documentos y configuración% Todos los usuariosFavoritos % Documents and Settings% All UsersStart Menu % Documents and Settings% All UsersDesktop %Documentos y configuraciones% Favoritos %Documentos y configuraciones% Menu de inicio %Documentos y configuraciones% Escritorio % WinDir% ProfilesTodos los usuariosFavoritos % WinDir% ProfilesTodos los usuarios Menú de inicio % WinDir% ProfilesAll UsersDesktop Ejemplos de archivos creados por el troyano: SuperNavigator.URL (http: //joblist..ru/redir.htm) – = Absolutno luchshaya KHALYAVA = -. URL (http: //zavarka./gift.htm) Znakomstva-Razvlecheniya-Chat.URL (http: //www.zavarka.) – Vse dlya dosuga -.URL (http: //sety.*.ru/post.html) (Los nombres de los archivos están escritos en cirílico) El troyano también modifica los siguientes valores de registro del sistema: [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer] "No Run" = BINARIO: 01 "NoClose" = BINARIO: 01 "NoLogOff" = BINARIO: 01 "NoDrives" = DWORD: 67108863 "NoDesktop" = DWORD: 00000001 "NoSaveSettings" = BINARIO: 00 "NoViewContextMenu" = BINARIO: 01 "NoTrayContextMenu" = BINARIO: 01 "RestrictRun" = DWORD: 00000001 "NoSetFolders" = DWORD: 01000000 "NoFind" = DWORD: 00000001 "NoFavoritesMenu" = DWORD: 00000001 "NoRecentDocsMenu" = DWORD: 00000001 "NoSetTaskbar" = DWORD: 00000001 [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem] "DisableRegistryTools" = DWORD: 00000001 "NoDevMgrPage" = DWORD: 00000001 [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesWinOldApp] "Desactivado" = DWORD: 00000001 "NoRealMode" = DWORD: 00000001 [HKLMEnumPCI] "ChannelOptions" = BINARIO: 02 [HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions] "NoBrowserClose" = DWORD: 01 [HKCUControl PanelInternational] "stimeformat" = "HH: mm: ss tt" Estas modificaciones pueden afectar la estabilidad de Windows. Instrucciones de eliminación Deshabilitar JavaScript en la configuración del navegador: Elimine los archivos creados por el troyano de los siguientes directorios: % De documentos y configuración% Todos los usuariosFavoritos % Documents and Settings% All UsersStart Menu % Documents and Settings% All UsersDesktop %Documentos y configuraciones% %Documentos y configuraciones% %Documentos y configuraciones% % WinDir% ProfilesTodos los usuariosFavoritos % WinDir% ProfilesTodos los usuarios Menú de inicio % WinDir% ProfilesAll UsersDesktop Revertir las claves de registro modificadas a sus valores originales Actualice sus bases de datos antivirus y realice una exploración completa de la computadora ( descargue una versión de prueba aquí).
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Trojan.JS.Seeker-based

Detalles técnicos

Carga útil

Instrucciones de eliminación