Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Encyclopedia GetVirusCard True 0

Mitglieder.CG
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Mitglieder.CG realiza las siguientes acciones:

Finaliza los siguientes procesos, que en su mayoría que pertenecen a aplicaciones que realizan actualizaciones de diferentes programas antivirus:

ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, UPDATE.EXE y UPGRADER.EXE.
Para los servicios cuyo nombre contenga alguna de las siguientes cadenas de texto:

Ahnlab task Scheduler, alerter, AlertManger, AVExch32Service, avg7alrt, avg7updsvc, AvgCore, AvgFsh, AvgServ, AVPCC, avpcc, AVUPDService, AvxIni, awhost32, backweb client - 4476822, BackWeb Client - 7681197, backweb client-4476822, BlackICE, CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, DefWatch, dvpapi, dvpinit, Firewall, fsbwsys, fsdfwd, FSDFWD, F-Secure Gatekeeper Handler Starter, FSMA, KAVMonitorService, kavsvc, KLBLMain, McAfee Firewall, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, MonSvcNT, navapsvc, Network Associates Log Service, NISSERV, NISUM, NOD32ControlCenter, NOD32Service, Norman NJeeves, Norman ZANDA, Norton Antivirus Server, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService, Outbreak Manager, Outpost, OutpostFirewall, PASSRV, PAVFNSVR, Pavkre, PavProt, PavPrSrv, PAVSRV, PCCPFW, PersFW, PREVSRV, PSIMSVC, ravmon8, SAVFMSE, SAVScan, SBService, schscnt, SharedAccess, sharedaccess, SmcService, SNDSrvc, SPBBCSvc, SweepNet, SWEEPSRV.SYS, Symantec AntiVirus Client, Symantec Core LC, Tmntsrv, V3MonNT, V3MonSvc, VexiraAntivirus, VisNetic AntiVirus Plug-in, vsmon, wuauserv y XCOMM.

La mayoría de estos servicios están asociados a programas antivirus y cortafuegos, entre otros.
Evita que algunas herramientas de seguridad puedan ejecutarse automáticamente cuando Windows se inicia.
Elimina archivos fundamentales para su buen funcionamiento.
Evita el acceso a los sitios web de varias compañías antivirus. De este modo, el usuario no podrá estar al tanto de las últimas amenazas descubiertas, y también se evita la actualización de las soluciones antivirus.
Cada seis horas, intenta descargar el archivo OSA.GIF desde las siguientes páginas web:

http://www.21ebuild.com
http://www.51.net
http://www.acsohio.com
http://www.agria.hu
http://www.andi.com.vn
http://www.angham.de
http://www.ascolfibras.com
http://www.automobilonline.de
http://www.bangyan.cn
http://www.beall-cpa.com
http://www.bolz.at
http://www.bs-security.de
http://www.centrovestecasa.it
http://www.checkonemedia.nl
http://www.contentproject.com
http://www.cz-wanjia.com
http://www.czwanqing.com
http://www.czzm.com
http://www.datanet.huwww.datanet.hu
http://www.designgong.org
http://www.dgy.com.cn
http://www.die-fliesen.de
http://www.discoteka-funfactory.com
http://www.dom-invest.com.pl
http://www.eagle.com.cn
http://www.eagleclub.com.cn
http://www.eagleclub.com.cn
http://www.ehc.hu
http://www.elvis-presley.ch
http://www.engelhardtgmbh.de
http://www.externet.hu
http://www.fahrschule-herb.de
http://www.fahrschule-lesser.de
http://www.fermegaroy.com
http://www.festivalteatrooccidente.com
http://www.festivalteatrooccidente.com
http://www.formholz.at
http://www.fotomax.fi
http://www.gemtrox.com.tw
http://www.gepeters.org
http://www.gimex-messzeuge.de
http://www.gomyhome.com.tw
http://www.gymzn.cz
http://www.gymzn.cz
http://www.gymzn.cz
http://www.hondenservice.be
http://www.idaf.de
http://www.idcs.be
http://www.ider.cl
http://www.inside-tgweb.de
http://www.izoli.sk
http://www.jcm-american.com
http://www.jeoushinn.com
http://www.jingjuok.com
http://www.jue-bo.com
http://www.kingsley.ch
http://www.marketvw.com
http://www.megaserve.net
http://www.mild.at
http://www.mild.at
http://www.mild.at
http://www.niko.de
http://www.nikogmbh.com
http://www.olva.com.pe
http://www.on24.ee
http://www.onlink.net
http://www.ppm-alliance.de
http://www.presley.ch
http://www.renegaderc.com
http://www.replayu.com
http://www.sachsenbuecher.de
http://www.sanjinyuan.com
http://www.scvanravenswaaij.nl
http://www.slovanet.sk
http://www.snsphoto.com
http://www.societaet.de
http://www.soeco.org
http://www.softmajor.ru
http://www.solt3.org
http://www.spacium.biz
http://www.speedcom.home.pl
http://www.spirit-in-steel.at
http://www.spoden.de
http://www.sportnf.com
http://www.spy.az
http://www.sqnsolutions.com
http://www.stbs.com.hk
http://www.steripharm.com
http://www.st-paulus-bonn.dehtdocs
http://www.students.stir.ac.uk
http://www.subsplanet.com
http://www.sungodbio.com
http://www.superbetcs.com
http://www.sweb.cz
http://www.sydolo.com
http://www.szdiheng.com
http://www.tcicampus.net
http://www.techni.com.cn
http://www.tg-sandhausen-basketball.de
http://www.thaifast.com
http://www.thaiventure.com
http://www.thefunkiest.com
http://www.thefunkiest.com
http://www.thenextstep.tv
http://www.thenextstep.tv
http://www.thetexasoutfitter.com
http://www.th-mutan.com
http://www.tmhcsd1987.friko.pl
http://www.toussain.be
http://www.trago.com.pt
http://www.travelourway.com
http://www.trgd.dobrcz.pl
http://www.triapex.cz
http://www.triptonic.ch
http://www.tv-marina.com
http://www.udc-cassinadepecchi.it
http://www.universe.sk
http://www.uspowerchair.com
http://www.uw.hu
http://www.vercruyssenelektro.be
http://www.vet24h.com
http://www.vinimeloni.com
http://www.vnn.vn
http://www.vnrvjiet.ac.in
http://www.vote2fateh.com
http://www.vw.press-bank.pl
http://www.wamba.asn.au
http://www.wdlp.co.za
http://www.welchcorp.com
http://www.wesartproductions.com
http://www.wilsonscountry.com
http://www.windstar.pl
http://www.wise-industries.com
http://www.witold.pl
http://www.witold.pl
http://www.wombband.com
http://www.xiantong.net
http://www.xmpie.com
http://www.xmpie.com
http://www.xmtd.com
http://www.xojc.com
http://www.x-treme.cz
http://www.yannick-spruyt.be
http://www.yayadownload.com
http://www.yesterdays.co.za
http://www.yesterdays.co.za
http://www.yshkj.com
http://www.yshkj.com
http://www.zakazcd.dp.ua
http://www.zenesoftware.com
http://www.zentek.co.za
http://www.zorbas.az
http://www.zsbersala.edu.sk

Aunque este archivo simula ser una imagen de tipo GIF, en realidad es un archivo ejecutable, también detectado como Mitglieder.CG.

Metodo de Infección

Mitglieder.CG crea los siguientes archivos:

WINSHOST.EXE en el directorio de sistema de Windows. Este archivo es una copia del troyano, que crea el archivo que se menciona a continuación la siguiente vez que se inicia el ordenador.
WIWSHOST.EXE en el directorio de sistema de Windows. Este archivo es inyectado en el proceso EXPLORER.EXE, y se encarga de realizar las acciones llevadas a cabo por Mitglieder.CG.

Mitglieder.CG modifica el archivo HOSTS. De este modo, evita que tanto usuarios como programas puedan acceder a las páginas web pertenecientes a diversas companías antivirus.

Mitglieder.CG borra los siguientes archivos:

A5V.DLL, AUPD1ATE.EXE, AUPDATE.EXE, AV.DLL, AV1SYNMGR.EXE, AVC1ONSOL.EXE, AVCONSOL.EXE, AVG23EMC.EXE, AVGC3C.EXE, AVGCC.EXE, AVGEMC.EXE, AVSYNMGR.EXE, C1CSETMGR.EXE, C6A5FIX.EXE, CAFIX.EXE, CC1EVTMGR.EXE, CC1L30.DLL, CCA1PP.EXE, CCAPP.EXE, CCEVTMGR.EXE, CCL30.DLL, CCSETMGR.EXE, CCV1RTRST.DLL, CCVRTRST.DLL, CM1GRDIAN.EXE, CMGRDIAN.EXE, IS5A6FE.EXE, ISAFE.EXE, K2A2V.EXE, KAV.EXE, KAV12MM.EXE, KAVMM.EXE, LUAL1L.EXE, LUALL.EXE, LUI1NSDLL.DLL, LUINSDLL.DLL, LUUP1DATE.EXE, LUUPDATE.EXE, MCSH1IELD.EXE, MCSHIELD.EXE, MYSUPERPROG.EXE, NAV1APSVC.EXE, NAVAPSVC.EXE, NPFM1NTOR.EXE, NPFMNTOR.EXE, OUTP1OST.EXE, OUTPOST.EXE, RULA1UNCH.EXE, RULAUNCH.EXE, S1YMLCSVC.EXE, SND1SRVC.EXE, SNDSRVC.EXE, SP1BBCSVC.EXE, SPBBCSVC.EXE, SYMLCSVC.EXE, UP222DATE.EXE, UP2DATE.EXE, VE6TRE5DIR.DLL, VETREDIR.DLL, VS1STAT.EXE, VS6VA5ULT.DLL, VSHW1IN32.EXE, VSHWIN32.EXE, VSSTAT.EXE, VSVAULT.DLL, ZATU6TOR.EXE, ZATUTOR.EXE, ZATUTOR.EXE, ZL5AVSCAN.DLL, ZLAVSCAN.DLL, ZLAVSCAN.DLL, ZLCLI6ENT.EXE, ZLCLIENT.EXE, ZO3NEALARM.EXE, ZONEALARM.EXE y ZONEALARM.EXE.

Algunos de estos archivos son fundamentales para el correcto funcionamiento de programas antivirus y cortafuegos.

Mitglieder.CG crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winshost.exe = %sysdir%\ winshost.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
winshost.exe = %sysdir%\ winshost.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Mitglieder.CG consigue ejecutarse cada vez que Windows se inicia.

Mitglieder.CG borra las siguientes entradas del Registro de Windows, si existen:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Panda Security
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
APVXDWIN
HKEY_LOCAL_MACHINE\ SOFTWARE\ Agnitum
HKEY_LOCAL_MACHINE\ SOFTWARE\ KasperskyLab
HKEY_LOCAL_MACHINE\ SOFTWARE\ McAfee
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ccApp
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NAV CfgWiz
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
SSC_UserPrompt
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
McAfee Guardian
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
McAfee.InstantUpdate.Monitor
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
KAV50
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avg7_cc
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avg7_emc
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Symantec NetDriver Monitor
HKEY_LOCAL_MACHINE\ SOFTWARE\ Symantec
HKEY_LOCAL_MACHINE\ SOFTWARE\ Zone Labs
Mediante su borrado, Mitglieder.CG intenta evitar que diversas herramientas de seguridad puedan ser automáticamente ejecutadas cada vez que Windows se inicia.

Método de Propagación

Mitglieder.CG ha sido enviado masivamente a través del correo electrónico.

Otros Detalles

Mitglieder.CG está escrito en lenguaje Ensamblador. Este troyano tiene un tamaño de 37888 Bytes y está comprimido con PeX.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info