• Icono de la aplicación. (Ejemplo: archivo autoextraíble winzipv32.exe)
• Mensaje y título del mensaje a desplegar al ejecutarse.
• Forma de autoejecutarse.
• Nombre del archivo al copiarse en el sistema infectado.
• Nombre del valor a crearse en el registro para autoejecutarse.
• Proteger el servidor mediante contraseña (solo el atacante que la sepa podrá acceder al servidor).
• Registrar y notificar las direcciones IP de los usuarios infectados en el sitio Web de los creadores del troyano.
• Habilitar la notificación por e-mail y/o ICQ
• Comprimir el servidor con la utilidad UPX

El componente que se instala en la computadora de la víctima (server), se registra al ejecutarse como un servicio quedando oculto en la lista de tareas activas (no es visible al pulsar CTRL+ALT+SUPR).

De acuerdo a la configuración implementada por el atacante, el servidor despliega una ventana con un mensaje, por ejemplo de error, para engañar al usuario haciéndole creer por ejemplo, que el archivo no funcionó. Por ejemplo:

Header not found
Header file corrupt, if you downloaded this
file from internet, try to download again.

También puede crear una copia de si mismo en la carpeta System con el nombre seleccionado por el atacante y agregando dicho nombre a la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Note que el valor agregado puede ser cualquiera.

Luego libera el archivo WNDATCX.DLL, conteniendo datos encriptados del propio malware en la misma carpeta (generalmente C:\Windows\System\).

Por defecto, el troyano utiliza el puerto 8012 para comunicarse con el cliente.

El cliente del troyano es el programa usado por el atacante para conectarse con la computadora de la víctima a través del servidor instalado en esta. Dicho programa habilita las siguientes acciones:

• Examinar la conexión con el servidor
• Cambiar el nombre que identifica al servidor en una máquina en particular
• Cerrar el servidor
• Desplegar cajas de mensajes con botones (Aceptar, OK, Si, No, etc.)
• Desplegar cajas de mensaje para ingresar información
• Captura de la pantalla de la víctima
• Reiniciar o apagar Windows o la actual sesión de usuario
• Colgar al sistema
• Mover o bloquear el cursor del mouse
• Acceder a las contraseñas en el caché
• Acceder a las contraseñas de Windows
• Desplegar mensajes para logearse a Windows
• Generar errores de sistema
• Generar sonidos (beep)
• Encender el indicador de la disquetera
• Abrir la bandeja del CD Rom
• Convertir la pantalla en un puzzle
• Apagar el monitor
• Mover la pantalla horizontal y verticalmente
• Visualizar el contenido de discos duros, carpetas, etc.
• Buscar archivos
• Crear directorios
• Borrar archivos
• Renombrar archivos y directorios
• Copiar archivos
• Ver archivos
• Subir y descargar archivos
• Ejecutar archivos en modo visible u oculto
• Cambiar los títulos de todas las ventanas
• Mover, esconder o cerrar ventanas
• Esconder o mostrar la barra de tareas
• Habilitar o deshabilitar ventanas
• Terminar un proceso activo
• Deshabilitar el teclado
• Habilitar o deshabilitar las teclas CTRL+ALT+SUPR
• Activar o desactivar un capturador de teclas (keylogger)
• Visualizar el registro del sistema

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm, gratuito para uso personal, que detendrá y advertirá la conexión del troyano con Internet.

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm


Limpieza manual

1. Ejecute un antivirus actualizado, copie los nombres de los archivos del troyano detectados en un papel.

2. Seleccione Inicio, Buscar, Archivos o carpetas

3. Teclee los nombres obtenidos en el punto 1 y pulse ENTER

4. Borre esos archivos si aparecen

5. Repita el punto 3 para buscar el archivo WNDATCX.DLL y bórrelo. Posibles ubicaciones:

C:\Windows\System\WNDATCX.DLL
C:\Windows\System32\WNDATCX.DLL

6. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

7. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows
\CurrentVersion
\Run

8. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con el nombre de algún archivo obtenido en el punto 1, y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Relacionados:

Troj/Ptakks.217. Troyano de acceso remoto en español
http://www.vsantivirus.com/ptakks-217.htm

Win32.Ptakks. Troyano en español
http://www.vsantivirus.com/ptakks.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com