C:\WINDOWS\Menú Inicio\Programas\Inicio\Welcome.hta

Este archivo contiene el código en Visual Basic Script que se ejecutará en el próximo reinicio de Windows.

Cuando este archivo se ejecuta, el script genera un archivo binario (3ascii.bin), y ejecuta el comando DEBUG de MS-DOS con dicho archivo como parámetro (DEBUG 3ascii.bin).

"3ascii.bin" es un archivo binario escrito en lenguaje assembler, con el cuál el comando DEBUG genera el cuerpo del troyano: Cgibin.exe.

Luego de creado éste último, el script lo mueve a la carpeta C:\WINDOWS y lo ejecuta. El archivo 3ascii.bin es luego borrado.

Para que el troyano se corra en cada inicio de Windows, el script crea la siguiente clave en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
SysWin = C:\Windows\cgibin.exe

Cuando este archivo se ejecuta, el troyano se copia a si mismo en la carpeta C:\WINDOWS con el nombre Winasm32.exe.

Para ejecutarse en cada reinicio de Windows, el troyano crea estas nuevas entradas en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
RegistryKeyName1234567890 = C:\Windows\Winasm32.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
RegistryKeyName1234567890 = C:\Windows\Winasm32.exe

Una vez activo en memoria, el troyano envía el mensaje "hey there, ive been committed" al ICQ del autor del virus. Esta acción avisará al atacante que la computadora infectada está pronta para ser controlada en forma remota.

Los comandos que acepta el troyano, permitirán un acceso completo a los archivos de la víctima, incluyendo carga y descarga de los mismos. Además, se podrá modificar el registro, y ejecutar cualquier programa o comando todo en forma remota.

Para evitar se visualice la extensión .HTA, y su icono por defecto, el script generará también esta clave en el registro:

HKEY_CLASSES_ROOT\htafile
NeverShowExt

Modificará el valor original del icono en:

HKEY_CLASSES_ROOT\htafile\DefaultIcon\
(Predeterminado) = C:\WINDOWS\SYSTEM\MSHTA.EXE,1

Por el siguiente:

(Predeterminado) = C:\WINDOWS\SYSTEM\SHELL32.DLL,44

También creará o modificará el archivo Wininit.ini en C:\Windows, con el siguiente contenido:

[rename]
NUL=C:\WINDOWS\Menú Inicio\Programas\Inicio\Welcome.hta

Esto borrará el archivo original "Welcome.hta" en el siguiente reinicio.

El troyano también puede modificar el archivo C:\Windows\WIN.INI con las siguientes líneas (bajo la sección [windows]):

[windows]
run=C:\Windows\Winasm32.exe

Si no se tiene instalado el Windows Scripting Host, el troyano no podrá ejecutarse. Para deshabilitar el WSH y para ver las extensiones verdaderas de los archivos, recomendamos el siguiente artículo:

VSantivirus No. 231 - 24/feb/01
Algunas recomendaciones sobre los virus escritos en VBS


Cómo quitar el troyano manualmente

Para quitar el troyano en forma manual, ejecute primero un antivirus al día y borre los archivos identificados.

Luego, siga estos pasos:

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Si existe alguna referencia a los archivos del troyano en la línea "run=" bajo la sección [windows], bórrela.

Por ejemplo:

[Windows]
run=C:\Windows\Winasm32.exe

Debe quedar como:

[Windows]
run=

3. Grabe los cambios y salga del bloc de notas.

4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

SysWin        "C:\Windows\cgibin.exe"
RegistryKeyName1234567890        "C:\Windows\Winasm32.exe"

7. En el panel izquierdo pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
RunService

8. Pinche en la carpeta "RunService" y en el panel de la derecha busque y borre la siguiente entrada:

RegistryKeyName1234567890         "C:\Windows\Winasm32.exe"

9. En el panel izquierdo pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
htafile

10. En el panel de la derecha, si existe, borre el valor:

NeverShowExt

11. En el panel izquierdo pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
htafile
DefaultIcon

12. Si aparece el siguiente valor en la ventana de la derecha:

(Predeterminado)        "C:\WINDOWS\SYSTEM\SHELL32.DLL,44"

Modifíquelo por este valor (botón derecho, Modificar):

(Predeterminado)         "C:\WINDOWS\SYSTEM\MSHTA.EXE,1"

13. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Glosario:

(1) Scriptlet.TypLib/Eyedog - Son dos controles de ActiveX, que están incorrectamente marcados como "seguros para scripting", y por consiguiente pueden ser llamados por el Internet Explorer. SCRIPTLET.TYPLIB es un control usado por diseñadores para generar librerías para componentes de Windows Script. EYEDOG es usado por el software de diagnóstico de Windows. Son afectados el Internet Explorer 4.0 y 5.0, y los parches están disponibles en: http://www.microsoft.com/technet/ie/tools/scrpteye.asp

También puede evitarse su acción, si la seguridad del IE5 es puesta en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Tenga en cuenta que algunos sitios tal vez no funcionen correctamente cuando usted navegue luego en ellos.


Fuente: Symantec AntiVirus Research Center (SARC)
(c) Video Soft - http://www.videosoft.net.uy