C:\Windows\DskLoad.exe
C:\Windows\Prun.exe
C:\Windows\Sys.exe
C:\Program Files\Accessories\Backup\System\Critical\Cons1.dll
C:\Program Files\Accessories\Backup\System\Critical\Deg326.dll
C:\Program Files\Accessories\Backup\System\Critical\Expl32.exe
C:\Program Files\Accessories\Backup\System\Critical\Explorer2.exe
C:\Program Files\Accessories\Backup\System\Critical\ins.dll
C:\Program Files\Accessories\Backup\System\Critical\Mir436.dll
C:\Program Files\Accessories\Backup\System\Critical\Mirc.ini
C:\Program Files\Accessories\Backup\System\Critical\Moo.dll
C:\Program Files\Accessories\Backup\System\Critical\Mstg1.dll
C:\Program Files\Accessories\Backup\System\Critical\Scan31.dll
C:\Program Files\Accessories\Backup\System\Critical\Updatex1.dll
C:\Program Files\Accessories\Backup\System\Critical\Win32x.dll
C:\Program Files\Accessories\Backup\System\Critical\Winexp32.dll
C:\Program Files\Accessories\Backup\System\Critical\Winvar32.dll

Todos los archivos en la carpeta Critical tienen sus atributos como ocultos (+H).

Muchos de estos archivos en realidad son scripts de IRC.

Una vez activo, el virus modifica la línea "run=" bajo la sección [windows] del archivo C:\Windows\Win.ini

run=C:\Windows\DskLoad.exe

También realiza las siguientes modificaciones en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC
DisplayName = mIRC

HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\mIRC
UninstallString = "c:\program files\accessories\backup\system\critical\expl32.exe" -uninstall"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
StubPath = C:\Windows\DskLoad.exe

HKLM\Software\Microsoft\Active Setup\Installed Components
KeyNameMSSysDisk = C:\Windows\DskLoad.exe

Finalmente modifica la clave HKLM\Software\Classes de modo que cada vez que se abre en el chat algún archivo, en realidad se ejecuta este otro archivo:

C:\program files\accessories\backup\system\critical\expl32.exe

El archivo SYS.EXE del troyano, se puede ejecutar cada vez que el usuario intenta correr el comando SYS (cuyo archivo verdadero está en C:\Windows\Command\sys.com).

Cuando ello sucede, el archivo SYS.EXE del troyano, instala otro troyano bajado de Internet, Backdoor.Subseven.22. 

Para limpiar un sistema infectado, ejecute primero un antivirus al día, y borre todos los archivos reconocidos como Backdoor.IRC.Critical o Backdoor.Subseven.22.

Los archivos borrados podrán ser restaurados desde un respaldo previamente creado, o reinstalando Windows.

También se deben modificar los cambios en el registro ya vistos, y borrar el contenido de la línea run=.

Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

Si existe alguna referencia a los archivos del troyano en la línea "run=" bajo la sección [windows], bórrelo.

Por ejemplo:

[Windows]
run=C:\Windows\DskLoad.exe

Debe quedar como:

[Windows]
run=

Se recomienda precaución al recibir archivos a través de los canales de IRC. Sólo acepte archivos de personas que realmente conoce, pero aún así, jamás los abra o ejecute sin
revisarlos antes con dos o tres antivirus actualizados.

Jamás acepte archivos SCRIPT a través del IRC. Pueden generar respuestas automáticas con intenciones maliciosas.

En el caso del mIRC, mantenga deshabilitadas en su configuración, funciones como "send" o "get" y comandos como "/run" y "/dll". Si su software soporta cambiar la configuración de "DCC" para transferencia de archivos, selecciónelo para que se le pregunte siempre o para que directamente se ignoren los pedidos de envío o recepción de éstos.


Fuente: Symantec
(c) Video Soft - http://www.videosoft.net.uy