• Chatear con la víctima
• Capturar la ventana activa o la pantalla completa
• Copiar o borrar el contenido del portapapeles
• Escribir en el cortapapeles
• Deshabilitar o habilitar el mouse
• Deshabilitar las teclas CTRL+ALT+SUPR, y otras
• Modificar configuración de pantalla, ratón, teclado, etc.
• Cerrar y abrir la bandeja del CD
• Borrar lista de documentos recientes, cookies, etc.
• Visualizar el contenido del disco duro
• Borrar, subir, descargar y ejecutar cualquier archivo
• Ejecutar archivos en modo no visible
• Borrar y crear directorios

El alias del troyano (IRTTH), proviene de las iniciales de su nombre en inglés (In route to the hell), aunque el código está totalmente en español.

Para autoejecutarse en cada reinicio de Windows, el troyano crea o modifica las siguientes claves:

HKU\[usuario]\Software\Microsoft\Windows\CurrentVersion\Run
UserConfig = [camino del troyano]\server.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RegSetWindowsKey = [camino del troyano]\server.exe

Donde [camino del troyano] depende del lugar de instalación del archivo recibido, que es variable.

Para instalarse requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.

Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Un programa del tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, detendrá y advertirá la conexión del troyano con Internet.


Más información

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_USERS
\[usuario]
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

UserConfig

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

5. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

RegSetWindowsKey

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com