Troj/Small.EKE

Para este efecto instala un Browser Helper Object (BHO), que es un archivo .DLL que permite configurar y controlar al Internet Explorer. 

Deshabilita el Administrador de Tareas de Windows. 

Es un Portable Ejecutable e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en MS Visual C++ y comprimido con el utilitario ASPack:

Al activarse se copia al directorio a %Root% con los nombres de microsoft.dll y microsoft.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_CUREENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32KernelStart" = "%Root%\microsoft.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Win32KernelStart" = "%Root%\microsoft.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Win32KernelStart" = "%Root%\microsoft.exe"

[HKLM\Software\Microsoft\Active Setup\Installed Components\{8DB1B67A-E3CB-44A8-AFA6-ECE6D1E7D028}
"StubPath" = "%Root%\microsoft.exe"

para deshabilitar el Administrador de Tareas de Windows crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
" DisableTaskMgr" = " 1"

Para liberar el Browser Helper Object (BHO) crea la siguiente llave 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager\Magnifier]
"Application path" = "%Root%t\microsoft.exe"

%Root% representa la raíz de la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

Al siguiente inicio del equipo, el sistema infectado deshabilitará el Administrador de Tareas de Windows y se conectará en forma aleatoria y a voluntad del autor a cualquier sitio web sobre el cual tenga control y desde allí intentará ejecutar comandos arbitrarios, como extraer información confidencial del sistema, direcciones de correo, contraseñas, etc.

PER ANTIVIRUS® versión 10.2 con registro de virus al 14 de Septiembre del 2007 detecta y elimina eficientemente este troyano.