Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

JS/Pursue. Reinicia constantemente el equipo
 
VSantivirus No. 887 - Año 7 - Miércoles 11 diciembre de 2002

JS/Pursue. Reinicia constantemente el equipo
http://www.vsantivirus.com/pursue.htm

Nombre: JS/Pursue
Tipo: Caballo de Troya de JavaScript
Alias: Pursue
Fecha: 8/dic/02
Plataforma: Windows 32-bits

Su mayor peligrosidad está en las acciones de ocultamiento y modificación de opciones de acceso del sistema, como por ejemplo la opción "Inicio", "Apagar", etc., y además, cada vez que se reinicia, apaga al equipo.

También modifica el sistema para que no se pueda editar el registro con la herramienta REGEDIT, lo que dificulta su eliminación manual.

El código del troyano puede estar presente en páginas Web infectadas. Al visualizarlas, el usuario infecta su computadora.

Cuando actúa, muestra una pantalla negra en el navegador, con unos recuadros que cambian de color según la posición del puntero del ratón.

No crea ni modifica ningún archivo, salvo el registro, en donde realiza los siguientes cambios:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
rundll.exe = "rundll.exe user.exe,exitwindows"

Con ello logra que Windows se apague cada vez que se reinicia. Esto solo puede evitarse entrando en modo a prueba de fallos o recuperando un registro anterior a la infección.

También modifica la siguiente clave:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "00000001"

Esto impide que se pueda editar el registro con REGEDIT (o cualquier otro editor del registro).

El troyano es un código JavaScript que puede estar incluido en cualquier página Web. El equipo se infecta al abrir la página Web que contiene el código malicioso.

Para impedir su ejecución (o la de cualquier JavaScript de páginas no seguras), pueden seguirse estos consejos (ver http://www.vsantivirus.com/09-11-02b.htm#11-11).


Forma manual de eliminar el troyano

Una forma es iniciando en modo solo MS-DOS (si corresponde), y usar la opción SCANREG /RESTORE para recuperar un registro anterior a la infección (recomendado, pero solo funciona en Windows 98).

En otros sistemas, para recobrar el uso de REGEDIT.EXE y eliminar la entrada "rundll.exe" de "RunServices" en el registro, descargue (por ejemplo en el escritorio de Windows) el archivo "pursue-fix.reg" de nuestro sitio (tal vez deba hacerlo desde otra computadora, o descargarlo ahora y guardarlo en un lugar seguro).

Descarga de "pursue-fix.reg"
http://www.videosoft.net.uy/pursue-fix.reg

Luego, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Haga doble clic sobre el archivo "pursue-fix.reg" descargado anteriormente en su PC, y confirme las modificaciones a realizar.

Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS