Aparece Inject.AE. un troyano que se inyecta en el .exe del Explorer

c:\windows\system32\[nombre 1].exe
c:\windows\system32\[nombre 2].dll

[Application Data]\[nombre 1].exe
[Application Data]\[nombre 2].dll

Donde [nombre 1] y [nombre 2] pueden variar.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

La carpeta [Application Data] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:

C:\Documents and Settings\[Usuario]
\Configuración local\Application Data

C:\WINDOWS\Application Data

Luego de creados, se ejecuta el archivo [nombre 1].EXE. Cuando ello sucede, [nombre 2].DLL es inyectado en el mismo proceso del EXPLORER.EXE (la interfase gráfica de Windows).

El troyano también crea un archivo vacío con el nombre de WERDSF en la carpeta del sistema:

c:\windows\system32\werdsf

Si los archivos [nombre 1].EXE y [nombre 2].DLL son copiados en la carpeta del sistema, las siguientes entradas en el registro son creadas, para ejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\msupdate
DllName = "[nombre 2].dll"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\msupdate
Startup = "WinlogonStartupEvent"

HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Notify\msupdate
Impersonate = "0"

Si los archivos son copiados en la carpeta "Application Data", son creadas las siguientes entradas, también para autoejecutarse en cada reinicio:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "[Application Data]\[nombre 2].dll""