Muhi.A
PeligrosidadDañoPropagación

Efectos 

Muhi.A realiza las siguientes acciones:

• Finaliza los siguientes procesos, si se encuentran activos:
  1234567890
  0040BC2C 0 MOSTAT.EXE, 0040BEF0 0 N32SCANW.EXE.
  
  A
  ACKWIN32.EXE, ADAWARE.EXE, ADVXDWIN.EXE, AGENTSVR.EXE, AGENTW.EXE, ALERTSVC.EXE, ALEVIR.EXE, ALMon.exe, ALOGSERV.EXE, alogserv.exe, ALsvc.exe, ALUNotify.exe, AMON9X.EXE, ANTI - TROJAN.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ARR.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATWATCH.EXE, AU.EXE, AUPDATE.EXE, AUTO - protect.NAV80TRY.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVE32.EXE, AVENGINE.EXE, avgamsvr.exe, avgcc.exe, AVGCC32.EXE, avgcc32.exe, AVGCTRL.EXE, avgctrl.exe, avgemc.exe, avginet.exe, avgmsvr.exe, AVGNT.EXE, avgnt.exe, avgregcl.exe, AVGSERV.EXE, avgserv.exe, AVGSERV9.EXE, avgserv9.exe, AVGUARD.EXE, avgupsvc.exe, AVGW.EXE, avgw.exe, AVKPOP.EXE, AVKSERV.EXE, AVKSERVICE.EXE, AVKWCTl9.EXE, AVLTMAIN.EXE, AVNT.EXE, AVP.EXE, AVP32.EXE, AVPCC.EXE, avpcc.exe, AVPDOS32.EXE, AVPM.EXE, avpm.exe, AVPTC32.EXE, AVPUPD.EXE, AVSCHED32.EXE, AVSYNMGR.EXE, avsynmgr.exe, AVWIN95.EXE, AVWINNT.EXE, AVWUPD.EXE, AVWUPD32.EXE, AVWUPSRV.EXE, AVXMONITOR9X.EXE, AVXMONITORNT.EXE, AVXQUAR.EXE.
  
  B
  BACKWEB.EXE, BARGAINS.EXE, BD_PROFESSIONAL.EXE, BDSS.EXE, BDSWITCH.EXE, BEAGLE.EXE, BELT.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BLSS.EXE, BOOTCONF.EXE, BOOTWARN.EXE, BORG2.EXE, BPC.EXE, BRASIL.EXE, BS120.EXE, BUNDLE.EXE, BVT.EXE.
  
  C
  CCAPP.EXE, ccApp.exe, CCEVTMGR.EXE, CCPXYSVC.EXE, CDP.EXE, CFD.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, Claw95.EXE, CLAW95CF.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, Click.EXE, CMD32.EXE, CMESYS.EXE, CMGRDIAN.EXE, CMON016.EXE, CONNECTIONMONITOR.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CTRL.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE.
  
  D
  DRWATSON.EXE, DRWEB32.EXE, DRWEBUPW.EXE, DSSAGENT.EXE.
  
  F
  FINDVIRU.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FNRB32.EXE, FPROT.EXE, FRW.EXE, FSAA.EXE, FSAV.EXE, FSAV32.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, FSGK32.EXE, FSM32.EXE, FSMA32.EXE, FSMB32.EXE.
  
  G
  GATOR.EXE, GUARD.EXE, GUARDDOG.EXE.
  
  H
  HACKTRACERSETUP.EXE.
  
  I
  IEXPLORER.EXE, inicio.exe, ISASS323223.EXE.
  
  K
  kav.exe, KAVLITE40ENG.EXE, kavmm.exe, KAVPERS40ENG.EXE, KAVPF.EXE, kavsvc.exe, KAZZA.EXE.
  
  L
  LAUNCHER.EXE, LDNETMON.EXE, LDPRO.EXE, LDPROMENU.EXE, LDSCAN.EXE, LNETINFO.EXE, LOADER.EXE, LOCALNET.EXE, LOCKDOWN.EXE, LOCKDOWN2000.EXE, LOOKOUT.EXE, LSETUP.EXE, LUALL.EXE, LUAU.EXE, LUCOMSERVER.EXE, LUINIT.EXE, LUSPT.EXE.
  
  M
  MAPISVC32.EXE, MCAGENT.EXE, mcagent.exe, mcappins.exe, McDash.exe, mcdetect.exe, mcinfo.exe, MCMNHDLR.EXE, mcmnhdlr.exe, MCSHIELD.EXE, mcshield.exe, MCTOOL.EXE, mctskshd.exe, MCUPDATE.EXE, mcupdate.exe, mcvsescn.exe, mcvsftsn.exe, MCVSRTE.EXE, mcvsrte.exe, MCVSSHLD.EXE, mcvsshld.exe, MD.EXE, MFIN32.EXE, MFW2EN.EXE, MGAVRTCL.EXE, MGAVRTE.EXE, MGHTML.EXE, MGUI.EXE, MINILOG.EXE, MMOD.EXE, MONITOR.EXE, MOOLIVE.EXE, mpf.exe, MPFAGENT.EXE, MpfAgent.exe, MpfConsole.exe, MPFSERVICE.EXE, Mpfsheild.exe, MPFTRAY.EXE, MRFLUX.EXE, MSAPP.EXE, MSBB.EXE, MSBLAST.EXE, MSCACHE.EXE, MSCCN32.EXE, MSCMAN.EXE, MSCONFIG.EXE, MSDM.EXE, MSDOS.EXE, MSIEXEC16.EXE, MSINFO32.EXE, MSLAUGH.EXE, MSMGT.EXE, MSMSGRI32.EXE, MSSMMC32.EXE, MSSYS.EXE, MSVXD.EXE, MU0311AD.EXE, MWATCH.EXE.
  
  N
  NAV.EXE, NAVAP.NAVAPSVC.EXE, NAVAPSVC.EXE, Navapsvc.exe, NAVAPW32.EXE, Navapw32.exe, NAVDX.EXE, NAVENGNAVEX15.NAVLU32.EXE, NAVLU32.EXE, NAVNT.EXE, NAVSTUB.EXE, NAVW32.EXE, NAVWNT.EXE, NC2000.EXE, NCINST4.EXE, NDD32.EXE, NEOMONITOR.EXE, NEOWATCHLOG.EXE, NETARMOR.EXE, NETD32.EXE, NETINFO.EXE, NETMON.EXE, NETSTAT.EXE, NETUTILS.EXE, NISSERV.EXE, nisserv.exe, NISUM.EXE, NISUM.exe, NMAIN.EXE, NMain.exe, NOD32.EXE, NORMIST.EXE, NOTSTART.EXE, NPF40_TW_98_NT_ME_2K.EXE, NPFMESSENGER.EXE, NPROTECT.EXE, NPSCHECK.EXE, NPSSVC.EXE, NSCHED32.EXE, NSSYS32.EXE, NT.EXE, NTRTSCAN.EXE, NTVDM.EXE, NTXconfig.EXE, NUI.EXE, NVARCH16.EXE, NVC95.EXE, NWSERVICE.EXE.
  
  O
  OPTIMIZE.EXE, OSTRONET.EXE, OTFIX.EXE, OUTPOST.EXE, OUTPOSTINSTALL.EXE, OUTPOSTPROINSTALL.EXE.
  
  P
  PAVPROXY.EXE, PAVSCHED.EXE, PAVW.EXE, pccclient.exe, pccguide.exe, PCCIOMON.EXE, pcclient.exe, pccnt.exe, PCCNTMON.EXE, pccntmon.exe, pccntupd.exe, pccpfw.exe, PcCtlCom.exe, PCCWIN97.EXE, PCCWIN98.EXE, PCDSETUP.EXE, PCIP10117_0.EXE, PCSCAN.EXE, pcscan.exe, PF2.EXE, PFWADMIN.EXE, PGMONITR.EXE, PLATIN.EXE, POP3TRAP.EXE, POPROXY.EXE, POPSCAN.EXE, PORTDETECTIVE.EXE, PORTMONITOR.EXE, POWERSCAN.EXE, PPTBC.EXE, PPVSTOP.EXE, prevsrv.exe, PROPORT.EXE, PROTECTX.EXE, PVIEW95.EXE.
  
  R
  RAV7.EXE, RAV7WIN.EXE, REGED.EXE, REGEDIT.EXE, REGEDT32.EXE, remupd.exe, RRGUARD.EXE, RTVSCAN.EXE, RTVSCN95.EXE.
  
  S
  SAFEWEB.EXE, SAHAGENT.EXE, SavService.exe, SBSERV.EXE, SCAM32.EXE, SCAN32.EXE, SCAN95.EXE, SCANPM.EXE, SCRSCAN.EXE, SCVHOST.EXE, SERVLCE.EXE, SMC.EXE, SPHINX.EXE, STCLOADER.EXE, SWNETSUP.exe.
  
  T
  TASKMO.EXE, TAUMON.EXE, TBSCAN.EXE.
  
  U
  UTPOST.EXE.
  
  V
  Vet32.exe, VetMsg.exe, VetNT.exe, VetTray.exe, vshwin32.exe, vsmain.exe, vsmon.exe, VSSERV.EXE, vstskmgr.exe.
  
  X
  XCOMMSVR.EXE.
  
  Z
  ZAPRO.EXE, zapro.exe, zlclient.exe, ZONEALARM.EXE, zonealarm.exe.
  Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos. Al finalizarlos, el ordenador quedaría vulnerable frente al ataque de malware.
• Deshabilita las siguientes funciones:
  - Centro de Seguridad de Windows y los avisos que se mostrarían por tener desactivados el cortafuegos, el programa antivirus o las actualizaciones automáticas.
  - Opciones de carpeta del Explorador de Windows.
• Impide la ejecución de la aplicación que permite configurar el sistema (msconfig).
• Modifica la página de Inicio de Internet Explorer.

Metodo de Infección 

Muhi.A crea los siguientes archivos:

• NEW TEXT DOCUMENT.EXE, en el directorio raíz de todas las unidades disponibles. Este archivo es una copia del gusano.
• WINBOXE.EXE, en el directorio raíz de la unidad C:. Este archivo también es una copia de sí mismo.
• SERVIC3S.EXE, en la la subcarpeta MENU INICIO\PROGRAMAS\INICIO del directorio Documents and Settings del usuario que haya iniciado sesión.
• SERVIC3S.EXE, en la subcarpeta MENU INICIO\PROGRAMAS\INICIO del directorio Documents and Settings de todos los usuarios.
• SERVICES.EXE, en el directorio de Windows.
• SERVIC3S.EXE, en la subcarpeta MENU INICIO\PROGRAMAS\INICIO del directorio de Windows de todos los usuarios.
• SERVIC3S.EXE, en la subcarpeta SYSTEM_INFORMATION_WINMS de la unidad D:.

Además, intenta copiar el archivo de proceso por lotes KILLS.BAT en todas las unidades disponibles del sistema. Este archivo contiene el parámetro erase /f /s /q *.*. De esta manera, se eliminaría todo el contenido de dichas unidades.

Muhi.A crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Himu = d:\system_information_winms\SERVIC3S.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  Norton Auto-Protect = SERVICES.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ runservices-
  Windows Service = SERVICES.exe
  Mediante estas entradas, Muhi.A consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
  NoFolderOptions = dword:00000001
  Mediante esta entrada, Muhi.A deshabilita la función Opciones de carpeta del Explorador de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer \ RestrictRun
  msconfig.exe
  Mediante esta entrada, Muhi.A impide que se pueda ejecutar la aplicación de configuración del sistema (msconfig ).

Muhi.A modifica las siguientes entradas del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ WindowsUpdate\ Auto Update
  (Default) = SERVICES.exe
  De esta manera, impide que se puedan realizar las actualizaciones de Windows.
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Security Center
  AntiVirusDisableNotify
  AntiVirusOverride
  FirewallDisableNotify
  UpdatesDisableNotify
  Mediante estas modificaciones, Muhi.A deshabilita el Centro de Seguridad de Windows y los avisos que se mostrarían por tener desactivados el cortafuegos, el programa antivirus o las actualizaciones automáticas.
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ windows NT\ CurrentVersion\ systemrestore\ DisableSR
  Mediante esta modificación, Muhi.A impide restaurar el sistema a un estado anterior.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page = file:///d:/ThirdPerson.html
  De esta manera, Muhi.A modifica la página de Inicio de Internet Explorer.

Método de Propagación 

Muhi.A se propaga a través de recursos compartidos, unidades mapeadas y dispositivos extraíbles.

Si el ordenador afectado se encuentra conectado a la carpeta compartida CurrentVersion\Explorer\WorkgroupCrawler\Shares, Muhi.A realiza una copia de sí mismo en dicha carpeta con los siguientes nombres:
AUPEE KARIM PICS.EXE
DOWNLOAD.EXE
I_LOVE_YOU.EXE
LOVE NEXT TO U.EXE
LYRICS OF PAPERCUT.EXE
WINDOW SHOPPER.EXE

Además, realiza una copia de sí mismo en todas las unidades físicas, mapeadas y dispositivos extraíbles que estén disponibles.

Otros Detalles  

Muhi.A está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 59904 Bytes, y está comprimido mediante UPX.

Todas las copias que realiza de sí mismo, presentan el icono del Bloc de notas, para engañar al usuario, haciéndole pensar que se trata de un archivo de texto.