Trojan.JS.Seeker-based

Троянская программа, изменяющая стартовую страницу браузера Internet Explorer и добавляющая в «Избранное» новые ссылки без ведома пользователя.

Троянская программа, изменяющая стартовую страницу браузера Internet Explorer и добавляющая в «Избранное» новые ссылки без ведома пользователя.

Написана на языке JavaScript. Находится внутри гипертекстовых документов на веб-сайтах или в письмах электронной почты. Срабатывает только в случае включенной в браузере поддержки JavaScript.

name="doc3">Деструктивная активность

Троянец изменяет значения следующих ключей системного реестра ОС Windows:

[HKCU\Software\Microsoft\Internet Explorer\Main]
[HKLM\Software\Microsoft\Internet Explorer\Main]
 "Start Page"="<новая_стартовая_страница>"

Примеры новых значений:

http://joblist.***.ru/redir.html
http://zavarka.***/gift.htm
http://sety.***.ru/post.html
http://ok***.ok999.net

Также троянец создает различные ярлыки с URL ссылками в следующих каталогах:

%Documents and Settings%\All Users\Favorites
%Documents and Settings%\All Users\Избранное
%Documents and Settings%\All Users\Start Menu
%Documents and Settings%\All Users\Главное меню
%Documents and Settings%\All Users\Desktop
%Documents and Settings%\All Users\Рабочий стол

%Documents and Settings%\<Имя_текущего_пользователя>\Favorites
%Documents and Settings%\<Имя_текущего_пользователя>\Избранное
%Documents and Settings%\<Имя_текущего_пользователя>\Start Menu
%Documents and Settings%\<Имя_текущего_пользователя>\Главное меню
%Documents and Settings%\<Имя_текущего_пользователя>\Desktop
%Documents and Settings%\<Имя_текущего_пользователя>\Рабочий стол

%WinDir%\Profiles\All Users\Favorites
%WinDir%\Profiles\All Users\Избранное
%WinDir%\Profiles\All Users\Start Menu
%WinDir%\Profiles\All Users\Главное меню
%WinDir%\Profiles\All Users\Desktop
%WinDir%\Profiles\All Users\Рабочий стол

Примеры создаваемых файлов :

СуперНавигатор.URL (http://joblist.***.ru/redir.htm)
-=Абсолютно лучшая ХАЛЯВА=-.URL (http://zavarka.***/gift.htm)
Знакомства-Развлечения-Чат.URL (http://www.zavarka.***)
- Все для досуга -.URL (http://sety.***.ru/post.html)

Также троянец может изменять значения следующих ключей системного реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 "NoRun"=BINARY:01
 "NoClose"=BINARY:01
 "NoLogOff"=BINARY:01
 "NoDrives"=DWORD:67108863
 "NoDesktop"=DWORD:00000001
 "NoSaveSettings"=BINARY:00
 "NoViewContextMenu"=BINARY:01
 "NoTrayContextMenu"=BINARY:01
 "RestrictRun"=DWORD:00000001
 "NoSetFolders"=DWORD:01000000
 "NoFind"=DWORD:00000001
 "NoFavoritesMenu"=DWORD:00000001
 "NoRecentDocsMenu"=DWORD:00000001
 "NoSetTaskbar"=DWORD:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 "DisableRegistryTools"=DWORD:00000001
 "NoDevMgrPage"=DWORD:00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp]
 "Disabled"=DWORD:00000001
 "NoRealMode"=DWORD:00000001

[HKLM\Enum\PCI]
 "ChannelOptions"=BINARY:02

[HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
 "NoBrowserClose"=DWORD:01

[HKCU\Control Panel\International]
 "stimeformat"="HH:mm:ss tt"

Изменение вышеприведенных ключей реестра может повлиять на стабильность работы ОС Windows.

Другие названия
Trojan.JS.Seeker-based ( «Лаборатория Касперского» ) также известен как: JS/IEstart.gen.c ( McAfee ),   JS.CoolSite@mm ( Symantec ),   JS/Seeker-R ( Sophos ),   JS/Coolsite.A@mm* ( RAV ),   JS_EXCEPTION.GEN ( Trend Micro ),   JS/Coolsite ( H+BEDV ),   HTML/AppAX@expl ( FRISK ),   EML:Coolsite ( ALWIL ),   VBS/Coolsite.A@mm ( Grisoft ),   JS.Trojan.Coolsites.A ( SOFTWIN ),   Trojan.JS.Startpage.C ( ClamAV ),   JS/Coolsites.A@mm ( Panda ),   JS/Coolsite.A ( Eset )
Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.