Trojan.JS. Fav.a

Троянская программа, осуществляющая изменение настроек браузера Internet Explorer. Является HTML-файлом.

Деструктивная активность

После запуска троянец создает следующий файл:

  %Favorites%\Slea**Dream.URL

Он является ссылкой на адрес в сети Интернет:

  http://www.slea**dream.com/main.html

Вирус производит следующие действия с различными ключами системного реестра:

* Изменяет страницу поиска, установленную по умолчанию:

        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Search Bar" = http://www.j**homepage.com/search.htm

* Изменяет поисковик IE, установленный по умолчанию:

        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Default_Search_URL" = http://www.j**homepage.com/search.htm

* Изменяет адрес поискового сервера, используемого по умолчанию:

        [HKCU\Software\Microsoft\Internet Explorer\Main]
        "Search Page" = http://www.j**homepage.com/search.htm
  

* Изменяет дополнительную страницу поиска:

        [HKLM\Software\Microsoft\Internet Explorer\Search]
        "SearchAssistant" = http://www.j**homepage.com/search.htm
  

Далее происходит удаление файла троянца (если файл находится на локальном ресурсе).

Другие названия

Trojan.JS.Fav.a («Лаборатория Касперского») также известен как: JS/Seeker.ab (McAfee), JS.Fav (Symantec), Troj/Fav-B (Sophos), JS/Fav.B* (RAV), JS_FAV (Trend Micro), JScr.Fav.B1 (H+BEDV), JS/Fav.E (FRISK), VBS:Malware (ALWIL), VBS.Trojan.Fav.F (SOFTWIN), Trj/JS.Fav (Panda), JS/Seeker.J (Eset)