HKLM\Software\Microsoft\
DirectOpenGLDirectX=dword:00000000

HKLM\Software\Microsoft\DirectOpenGL\
SettingsAPPID=dword:0000fffa

Una vez en memoria, el troyano actúa en segundo plano como un proceso (no es visible desde la lista de tareas al pulsar CTRL+ALT+SUPR).

El lado cliente del troyano, permite a un atacante, controlar en forma remota la computadora infectada, en donde se ejecuta el servidor del troyano.

El atacante puede seleccionar el puerto TCP (Transmission Control Protocol) para la conexión, por defecto este es el 65530.

Cuando una conexión se ha establecido, se pueden realizar las siguientes acciones en forma remota, en la computadora infectada:

• Cerrar y/o quitar el servidor
• Descargar, subir, borrar archivos
• Visualizar el contenido de la máquina infectada
• Obtener la hora del reloj de esa máquina
• Habilitar o quitar el menú del sistema
• Habilitar o deshabilitar el mouse
• Encender o apagar el monitor
• Colgar el sistema
• Borrar archivos del sistema de Windows, como win.com, user.dat, system.dat
• Habilitar, deshabilitar la combinación de teclas CTRL+ALT+SUPR
• Obtener el UIN de ICQ del usuario infectado
• Obtener nombres de usuario de Windows y de Internet
• Obtener lista de contraseñas
• Ocultar, mostrar o borrar la barra de tareas
• Reiniciar Windows, apagar el sistema, reiniciarlo
• Abrir y cerrar la bandeja del CD-ROM
• Borrar archivos del registro
• Enviar mensajes
• Abrir el explorador en determinada dirección URL
• Intercambiar los botones del ratón

Procedimiento para eliminar manualmente el troyano

1. Desde Inicio, Ejecutar, escriba REGEDIT (y Enter).

2. Busque la siguiente clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\
DirectOpenGLDirectX=dword:00000000

3. Borre en la ventana de la derecha la clave "DirectOpenGLDirectX"

4. Busque la siguiente clave:

HKEY_LOCAL_MACHINE\Software\Microsoft\DirectOpenGL\
SettingsAPPID=dword:0000fffa

5. Borre la carpeta "DirectOpenGL".

6. Salga de REGEDIT

Recuperar SCANREGW.EXE desde los .CAB de Windows

Primero, genere un disquete de inicio desde "Mi PC", "Panel de control", "Agregar o quitar programas". Pulse en "Crear disco", y siga las instrucciones.

Para asegurarnos de que la computadora arrancará desde el disquete de inicio, debemos hacer algunos cambios en la configuración del BIOS.

Dejamos el disquete generado como "Disco de inicio" en la disquetera, y reiniciamos Windows, siguiendo estos pasos:

1. Al reiniciar la computadora, debemos pulsar la tecla SUPR o DEL (existen algunos modelos de computadoras que le solicitarán otro procedimiento para ello. En esos casos debe guiarse o bien por los mensajes que salgan en pantalla al comienzo, o bien por el manual o documentación que acompaña a su computadora, o bien preguntando en foros de ayuda como el de VSAyuda).

2. En las opciones de Setup del BIOS, debemos buscar y habilitar (si no lo estuviera), la opción "Boot Sequence" o similar como "A, C, ..." etc. o "A: -> C:", o "1st Boot Device" como "Floppy", "2nd Boot Device" como "IDE-0", o la que corresponda en su caso. De este modo nuestro PC podrá iniciar desde un disquete. Debemos grabar los cambios y salir para reiniciar la computadora. Generalmente podremos hacerlo pulsando F10, o siguiendo las instrucciones en pantalla.

IMPORTANTE: Es conveniente dejar esta opción deshabilitada luego de haber realizado todo el proyecto de restitución de los archivos borrados ("C, A, ...", "C: -> A:" o "1st Boot Device" como "IDE-0"), para evitar en el futuro iniciar por descuido con un disquete infectado.

3. Al volver a reiniciar la computadora, (con el disquete "Disco de inicio" en la disquetera A:), deberá salir un menú de opciones. Seleccionamos la opción "Compatibilidad con CD-ROM".

4. Cuando la pantalla nos muestre un A:>_ y un cursor parpadeando, insertamos el CD correspondiente al Windows instalado en la unidad de CD-ROM (en el ejemplo, la unidad E:\ pero puede ser cualquier otra, de acuerdo a la cantidad de unidades de disco de nuestro PC)

5. Desde A:>_ tecleamos lo siguiente (más ENTER) de acuerdo a la versión de Windows instalada, (debe ser escritos en una sola línea, y si la letra correspondiente a la unidad de CD fuera diferente a la del ejemplo, se deberá indicar en lugar de "e:\"):

En Windows 98 normal:

extract /a e:\win98\win98_40.cab scanregw.exe /L c:\windows

En Windows 98 SE:

extract /a e:\win98\win98_44.cab scanregw.exe /L c:\windows

En Windows Me:

extract /a e:\win9x\precopy1.cab scanregw.exe /L c:\windows

6. Quitamos el disquete, y reiniciamos nuevamente la computadora (es importante volver a la normalidad las opciones modificadas en el punto 2, como ya dijimos).

Si se producen errores, reitere los pasos anteriores.

Revise su computadora con uno o dos antivirus al día, y borre todos los archivos identificados como este troyano (ver la lista de Alias).

Si se produce alguna de las acciones dañinas del virus (borrado de archivos vitales), se deberá reinstalar estos archivos desde un respaldo, o proceder a reinstalar Windows en el peor de los casos.

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red").

Fuente: Trend Micro, Dark Eclipse.