C:\Windows\Help.exe

También crea el siguiente archivo:

C:\Windows\Scan.dll

Este último de solo 6,144 bytes, detectado por algunos antivirus como PWS.Hooker.Trojan.

En todos los casos, 'C:\Windows' puede variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME y XP, como 'C:\WinNT en Windows NT/2000).

El troyano también crea la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\KeyConfig

En esta clave agrega diferentes valores de acuerdo a su acción.

También agrega los siguientes valores:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectX
Start = ok

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
MS Scandisk = C:\Windows\Help.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS Scandisk = C:\Windows\Help.exe

Estas dos últimas le permiten ejecutarse automáticamente cada vez que se reinicie la computadora.

El troyano también intenta deshabilitar algunos productos antivirus y cortafuegos que estuvieran instalados en la máquina infectada, matando los procesos activos.

Si el sistema operativo es Windows 95, 98 o Me, el troyano se registra a si mismo como un servicio para continuar ejecutándose en memoria después de cerrar una sesión. En este caso el troyano solo se cierra cuando se apaga el sistema.

Antilam.20 hace uso de una función no documentada (WNetEnumCachedPasswords), existente solo en la versión para Windows 95, 98 y Me de la librería MPR.DLL.

Usa esta función para obtener acceso al caché de passwords y otros.

El troyano obtiene la información de la última conexión hecha por el usuario, número telefónico, nombre de usuario y contraseña.

Luego usa esta información para autenticar su propio acceso al servidor remoto correspondiente.

El troyano se engancha a procesos del sistema para monitorear cualquier mensaje desde el teclado o el ratón. Obtiene de este modo tanto todo lo tecleado por el usuario, como cualquier texto capturado en pantalla con el ratón.

Después que es instalado, el troyano avisa al cliente (la parte controlada por el atacante), utilizando el ICQ, y estableciendo una conexión protegida con contraseña.

Los comandos del troyano le permiten a un atacante acciones como las siguientes:

• Enviar información del sistema al atacante (passwords, etc.)
• Imprimir textos
• Ejecutar archivos multimedia
• Abrir o cerrar la bandeja del CD
• Esconder iconos, la bandeja del sistema, barra de tareas, etc.
• Apagar o prender el monitor (ahorro de energía)
• Interceptar información confidencial desde el teclado
• Interceptar información confidencial en pantalla
• Enviar esa información al atacante.
• Modificar la instalación del propio troyano
• Descargar y ejecutar archivos
• Alterar parámetros como resolución de la pantalla, colores, etc.
• Colgar el sistema en forma premeditada

Reparación manual

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MS Scandisk

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

MS Scandisk

6. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\DirectX

7. Pinche en la carpeta "DirectX" y en el panel de la derecha busque y borre la siguiente entrada:

Start

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\KeyConfig

9. Pinche en la carpeta "KeyConfig" y bórrela con la tecla SUPR o DEL.

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Nota: Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com