Trojan.JS.Seeker

Technical Details

Эта скрипт-программа на языке JavaScript скрытно изменяет домашнюю страницу и страницу поиска броузера не запрашивая подтверждения пользователя.

Скрипт, используя брешь в защите MS Internet Explorer 5.0 (Typelib security vulnerability), создает в каталоге автозагрузки Windows HTA-файл, который при следующем старте Windows изменяет ключи системного реестра, в которых записаны адреса домашней и поисковой страниц браузера. При этом старые значения этих ключей сохраняются в файлах BACKUP1.REG и BACKUP2.REG в каталоге Windows.
После того как HTA-файл отработал, он удаляет сам себя.