HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskReg = [ubicación del troyano]

Esto inicia el troyano cada vez que se arranca el PC.

Cómo vimos, una vez activo, el troyano se conecta al IRC en el puerto 6667, utilizando un nombre de usuario y una contraseña seleccionada al azar.

Luego, queda a la espera de alguno de los siguientes comandos desde el IRC:

udp (envía paquetes UDP a un blanco especificado)
nick (modifica el nickname de la víctima)
dns (Resuelve el nombre del host a partir del IP)
get (Descarga un archivo desde un sitio Web especificado)
version (Muestra la versión del troyano)
kill (Finaliza la acción del propio troyano)
help (Imprime una lista de los comandos soportados)
376 (Cambia el modo de conexión)
433 (Genera una cadena (string) al azar)
422 (Cambia el modo de conexión)
privmsg (Envía un mensaje privado)
ping (Reconocimiewnto de la conexión)

Como sacar el virus de un sistema infectado

Para quitar manualmente el virus, ejecute un antivirus al día, y borre todos los archivos infectados.

Luego, siga estos pasos:

1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).

2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como: 

TaskReg

4. Pinche sobre el nombre "TaskReg" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.

5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy