Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos |
Mitglieder.AY realiza las siguientes acciones: - Finaliza los siguientes procesos, en su mayoría que pertenecen a aplicaciones que realizan actualizaciones de diferentes programas antivirus:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ESCANH95.EXE
ESCANHNT.EXE
FIREWALL.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
UPDATE.EXE
UPGRADER.EXE - Cada seis horas, intenta descargar el archivo ZOO.JPG de cualquiera de las siguientes páginas web:
http://www.amanit.ru
http://www.anthonyflanagan.com
http://www.approved1stmortgage.com
http://www.argument.h12.ru
http://www.arkebek.de
http://www.artek.org
http://www.asianfestival.nl
http://www.astergut.at
http://www.aviation-center.de
http://www.bbsh.org
http://www.besino.com
http://www.bestbuy.de
http://www.beta.mtw.ru
http://www.bga-gsm.ru
http://www.blessino.com
http://www.blueeyeinc.com
http://www.breaklight.be
http://www.brzesko.net.pl
http://www.catsystem.com.kg
http://www.cdnpartner.com.pl
http://www.ceskyhosting.cz
http://www.compsolutionstore.com
http://www.concept.kg
http://www.corpsite.com
http://www.couponcapital.net
http://www.channeland.com
http://www.DarrkSydebaby.com
http://www.dehut-westerhoven.nl
http://www.dhl.kg
http://www.dierollendedisco.de
http://www.discobaradventure.be
http://www.ecobank.kg
http://www.elenalazar.com
http://www.e-nfo.com
http://www.epicbiz.com
http://www.e-power.com.cn
http://www.europa.kg
http://www.everett.wednet.edu
http://www.externet.hu
http://www.forester.kg
http://www.fotocliparts.de
http://www.fotonw.org
http://www.freesites.com.br
http://www.funbunker.de
http://www.funworld.tv
http://www.gameser.com@share.gameser.com
http://www.gci-bln.de
http://www.gcnet.ru
http://www.giantrevenue.com
http://www.himpsi.org
http://www.i3dvr.com
http://www.ibigmart.net
http://www.idb-group.net
http://www.illusionoflife.net
http://www.infocuspromo.com
http://www.irinaswelt.de
http://www.jansenboiler.com
http://www.jasnet.pl
http://www.jcribeiro.com
http://www.jewelleryamberproducts.com
http://www.jimvann.com
http://www.jldr.ca
http://www.jordanramey.net
http://www.joy-musik-sound.de
http://www.justrepublicans.com
http://www.katel.kg
http://www.knicks.nl
http://www.koebers.pl
http://www.kogaionon.com
http://www.kplus.kg
http://www.kradtraining.de
http://www.kranenberg.de
http://www.kranenberg.de:113547@
http://www.kstrus.com.pl
http://www.ktsonline.de
http://www.lahelaino.com
http://www.lawform.com.au
http://www.leetexgroup.com
http://www.leshrak.de
http://www.leshrak.de:prophets@
http://www.logoseiten.de
http://www.magicbottle.com.tw
http://www.mcuserver.cz
http://www.mega.kg
http://www.mega-spass.com
http://www.mepbisu.de
http://www.mepmh.de
http://www.mtfdesign.com
http://www.mtransit.kg
http://www.neotech.kg
http://www.nikonfotoshare.com
http://www.novosti.kg
http://www.ok.kg
http://www.onepositiveplace.org
http://www.online.kg
http://www.orangesuburban.5u.com
http://www.otv.ch
http://www.pageantpage.com
http://www.pankration.com
http://www.para-agility.com
http://www.pdxracing.net
http://www.pfadfinder-leobersdorf.com
http://www.pipni.cz
http://www.pjwstk.edu.pl
http://www.polizeimotorrad.de
http://www.proway-consulting.com
http://www.pugetsoundyc.org
http://www.pyrlandia-boogie.pl
http://www.qphoto.co.za
http://www.raecoinc.com
http://www.realgps.com
http://www.realty.kg
http://www.redlightpictures.com
http://www.reliance-yachts.com
http://www.relocationflorida.com
http://www.rentalstation.com
http://www.rieraquadros.com.br
http://www.roaming.kg
http://www.sacohalle.be
http://www.scanex-medical.fi
http://www.scoping4success.com
http://www.sert.ru
http://www.sigi.lu
http://www.spadochron.pl
http://www.ssc.kg
http://www.ssmifc.ca
http://www.stadtmeyers.de
http://www.stadtmeyers.de:R2D2c3po@
http://www.sterlingirb.com
http://www.sunassetholdings.com
http://www.szantomierz.art.pl
http://www.szosa.pl
http://www.tambourenvereine.ch
http://www.tarnow.opoka.org.pl
http://www.tc-muraene.com
http://www.tc-muraene.com:hunter@
http://www.theroyalregistry.com
http://www.transportation.gov.bh
http://www.tumar.kg
http://www.tunguska.hu
http://www.turkeyhomes.com
http://www.turkeyhomes.com@
http://www.ulpiano.org
http://www.unicity.pl
http://www.vbw.info
http://www.velezcourtesymanagement.com
http://www.vorrix.com
http://www.webpark.pl
http://www.wecompete.com
http://www.wp.pl
http://www.wwwebad.com
http://www.xpager321.wz.cz
http://www.yamdiamonds.com
http://www.zander-yachting.com
Si lo consigue, este archivo descarga y ejecuta otro malware en el ordenador afectado.
|
Metodo de Infección
Mitglieder.AY crea los siguientes archivos:
- WINSHOST.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
- WIDSHOST.EXE en el directorio de sistema de Windows. Este archivo provee funcionalidades adicionales al gusano.
- FILE.EXE. Este archivo es descargado desde Internet como ZOO.JPG, pero guardado con este nombre. Descarga y ejecuta otro malware.
Mitglieder.AY crea las siguientes entradas en el Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winshost.exe = %sysdir%\ winshost.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winshost.exe = %sysdir%\ winshost.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Mitglieder.AY consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
Mitglieder.AY se propaga a través de Internet. Para ello, realiza el siguiente proceso:
- Escanea direcciones IP en las que el puerto TCP 81 está abierto, que es el puerto que escuchan los gusanos Bagle.BC y Bagle.BE cuando afectan un ordenador.
- Realiza una copia de sí mismo en los ordenadores afectados por estos gusanos.
Otros Detalles
Mitglieder.AY tiene un tamaño de 7172 Bytes y está comprimido con PeX.