Alias: Trojan.Kill_Inst98
Longitud: 5682 bytes

Este troyano parece ser que fue distribuido a través de una versión pirateada de Windows 98. Se trata de un archivo DOS.EXE comprimido con PKLite y llamado INSTALAR.EXE Contiene varias cadenas de texto que se utilizan para ejecutar comandos batchs en ciertas ocasiones. Inst98 busca la variable COMSPEC y ejecuta el archivo COMMAND.COM con la opción /C y un comando específico. Los comandos no son visibles ya que el troyano dirige la salida a >NUL.

Cuando el troyano se ejecuta por primera vez, se copia a sí mismo como KEYB.EXE en el directorio raíz C:\.

Inst98 intenta ejecutar dos comandos batch durante su instalación inicial. El primer comando copiará el troyano en C:\ y el segundo ejecutará WB32OFF.EXE si existe. Si no es así, aparecerá el mensaje "Bad command or file name".

El troyano no modifica el archivo AUTOEXEC.BAT para ejecutar su copia cada vez que se arranque el sistema. Pero sí toma el control de los sistemas Windows donde los comandos de configuración del teclado estén presentes en AUTOEXEC.BAT (estos utilizan el archivo KEYB.COM de la carpeta WINDOWS\COMMAND\, pero el troyano que se encuentra en C:\, toma el control en su lugar).

Después del primer arranque Inst98 chequea la fecha del sistema; crea el archivo WB32OFF.TXT de la carpeta \WINDOWS\SYSTEM32\ y escribe el mes y año actual en él en formato ASCII; borra el archivo SORT.EXE; ejecuta KEYB.COM con los parámetros de teclado en español y sale.

Luego, copia KEYB.COM como SORT.COM. Más tarde, ejecutará SORT.COM y configurará el teclado Español. Pasado algún tiempo, borra KEYB.COM y su archivo KEYB.EXE de C:\ y desde luego sobre iniciará desde la carpeta \WINDOWS\COMMAND\.

El 1 de Enero el troyano activa su payload borrando todos los archivos del disco C:. Para hacer el proceso más rápido el troyano intenta ejecutar primero SMARTDRV.