Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Mitglieder.FP
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Mitglieder.FP realiza las siguientes acciones:

Impide el acceso a las siguientes páginas web, la mayoría pertenecientes a compañías antivirus:
193.69.114.12
212.113.20.69
213.219.245.4
213.248.60.121
216.200.68.152
62.146.66.181
63.210.193.12
84.53.142.22
84.53.142.6
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
antivir.de
anti-virus.by
ar.atwola.com
aspersky-labs.com
atdmt.com
avast.com
avira.com
avp.ch
avp.com
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
bitdefender.com
bitdefender.ru
ca.com
clamav.net
clamwin.com
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
database.clamav.net
dispatch.mcafee.com
download.ikarus.at
download.mcafee.com
download.microsoft.com
download25.avast.com
downloadhosting.core.ignum.cz
downloads.avira.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
drweb.com
drweb.ru
engine.awaps.net
esetsoftware.com
fastclick.net
files.referats.net
f-secure.com
ftp.avp.ch
ftp.downloads2.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
ftpav.ca.com
gin.ba.euroweb.sk
go.microsoft.com
grisoft.com
hbedv.com
ids.kaspersky-labs.com
ikarus-software.at
kaspersky.com
kaspersky.ru
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
msk4.drweb.com
my-etrust.com
nai.com
networkassociates.com
niutwo.norman.no
office.microsoft.com
open.by
pandasoftware.com
phx.corporate-ir.net
rads.mcafee.com
ravantivirus.com
report.bitdefender.com
rs02.avast.com
rs03.avast.com
rs06.avast.com
rs07.avast.com
rs08.avast.com
rs10.avast.com
rs11.avast.com
rs18.avast.com
rs18.avast.com
rs20.avast.com
rs24.avast.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sm01.avast.com
sm04.avast.com
sm05.avast.com
sm09.avast.com
sm12.avast.com
sm13.avast.com
sm14.avast.com
sm15.avast.com
sm16.avast.com
sm17.avast.com
sm19.avast.com
sm21.avast.com
sm22.avast.com
sm23.avast.com
sm25.avast.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
updates1.k
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
upgrade.bitdefender.com
us.mcafee.com
vba32.de
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.antivir.de
www.anti-virus.by
www.avast.com
www.avira.com
www.avp.ch
www.avp.com
www.avp.ru
www.awaps.net
www.bitdefender.com
www.bitdefender.ru
www.ca.com
www.clamav.net
www.clamwin.com
www.drweb.com
www.fastclick.net
www.f-secure.com
www.grisoft.com
www.hacksoft.com.pe
www.hbedv.com
www.kaspersky.com
www.kaspersky.ru
www.kaspersky-labs.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.open.by
www.pandasoftware.com
www.ravantivirus.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.vba32.de
www.viruslist.com
www.viruslist.ru
www2.eset.com
www3.ca.com
zak.avira.com
Desactiva los servicios del sistema relacionados con los siguientes productos antivirus y de seguridad, entre otros:
Ahnlab task Scheduler, alerter, AlertManger, AntiVir Service, aswUpdSv, Ati HotKey Poller, avast! Antivirus, AVEService, AVExch32Service, avg7alrt, avg7updsvc, AvgCore, AvgFsh, AvgServ, AVIRAMailService, AVIRAService, avpcc, AVUPDService, AVWUpSrv, AvxIni, awhost32, backweb client - 4476822, BackWeb Client - 7681197, backweb client-4476822, bdss, BlackICE, CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, DefWatch, dvpapi, dvpinit, fsbwsys, fsdfwd, F-Secure Gatekeeper Handler Starter, FSMA, Guard NT, InoRpc, InoRT, InoTask, KAVMonitorService, kavsvc, KLBLMain, McAfee Firewall, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, MonSvcNT, navapsvc, Network Associates Log Service, nipsvc, NISSERV, NISUM, NOD32ControlCenter, NOD32Service, Norman NJeeves, Norman Type-R, Norman ZANDA, Norton Antivirus Server, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService, Outbreak Manager, Outpost Firewall, OutpostFirewall, PASSRV, PAVFNSVR, Pavkre, PavProt, PavPrSrv, PAVSRV, PCCPFW, PersFW, PREVSRV, PSIMSVC, ravmon8, SAVFMSE, SAVScan, SBService, schscnt, SharedAccess, SmcService, SNDSrvc, SPBBCSvc, SpiderNT, SweepNet, SWEEPSRV.SYS, Symantec AntiVirus Client, Symantec Core LC, Tmntsrv, V3MonNT, V3MonSvc, Vba32ECM, Vba32ifs, Vba32Ldr, Vba32PP3, VexiraAntivirus, VisNetic AntiVirus Plug-in, vsmon, vsserv, wscsvc, wuauserv, WZCSVC, xcomm.
Busca los siguientes archivos y después, los elimina:
ASHAVAST.EXE, ASHDISP.EXE, ASHENHCD.EXE, ASHPOPWZ.EXE, ASHSHA64.DLL, ASHSIMPL.EXE, ASHSKPCK.EXE, ASHWEBSV.EXE, AUPDATE.EXE, AVCONSOL.EXE, AVGCC.EXE, AVGCMSG.DLL, AVGEMC.EXE, AVGNT.EXE, AVSCHED32.DLL, AVSCHED32.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, BCGCB59.DLL, BDMCON.EXE, BDNEWS.EXE, BDSUBMIT.EXE, BDSWITCH.EXE, CAFIX.EXE, CCAPP.EXE, CCEVTMGR.EXE, CCL30.DLL, CCSETMGR.EXE, CCVRTRST.DLL, CLAMTRAY.EXE, CLAMWIN.EXE, CMGRDIAN.EXE, D2HTLS32.DLL, DRWADINS.EXE, DRWEB32W.EXE, DRWEBSCD.EXE, DRWEBUPW.EXE, FFJMPWEB.DLL, FRESHCLAM.EXE, GUARDEVT.DLL, GUARDGUI.EXE, GUARDMSG.DLL, GUARDNT.EXE, IKSYST32.DLL, INETUPD.EXE, INOCIT.EXE, INOOEM.DLL, INOOPTION.DLL, INOUPTNG.EXE, ISAFE.EXE, KAV.EXE, KAVMM.EXE, KAVPF.EXE, LUALL.EXE, LUINSDLL.DLL, LUUPDATE.EXE, MCSHIELD.EXE, NAVAPSVC.EXE, NOD32.EXE, NOD32API.DLL, NOD32KUI.EXE, NPFMNTOR.EXE, NPFMSG.EXE, NVCCF0D.DLL, NVCEVLOG.DLL, NVCOD.EXE, NVCTE.EXE, NVCUT.EXE, OCONNDLG.DLL, OCOOKDLG.DLL, OUTPOST.EXE, PCCGUIDE.EXE, PCCTLCOM.EXE, PYTHON23.DLL, QHPF.EXE, REALMON.EXE, REGEDIT.EXE, REGEDT32.EXE, RULAUNCH.EXE, SCHFACE.DLL, NDSRVC.EXE, SPBBCSVC.EXE, SPIDERML.EXE, SYMLCSVC.EXE, T2W32.DLL, TMNTSRV.EXE, TMPFW.EXE, TMPROXY.EXE, UP2DATE.EXE, UPGREPL.EXE, VBA32ECM.EXE, VBA32IFS.EXE, VBA32LDR.EXE, VBA32PP3.EXE, VBAIFPS.DLL, VETREDIR.DLL, VSHWIN32.EXE, VSSTAT.EXE, VSVAULT.DLL, XT1922.DLL, ZATUTOR.EXE, ZLAVSCAN.DLL, ZLCLIENT.EXE, ZONEALARM.EXE.
Elimina las herramientas de edición del Registro de Windows REGEDIT.EXE y REGEDT32.EXE.

Metodo de Infección

Mitglieder.FP crea los siguientes archivos en el directorio de sistema de Windows:

ANTIAV_EXE.EXE. Este archivo es una copia del troyano, que crea el archivo que se menciona a continuación la siguiente vez que se inicia el ordenador.
ANTIAV_DLL.DLL, que tiene un tamaño de 15088 Bytes. Este archivo es una DLL (Librería de Enlace Dinámico) que es inyectada en el proceso EXPLORER.EXE, y se encarga de realizar las acciones llevadas a cabo por Mitglieder.FP.

Mitglieder.FP crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Auto__antiav__key = %sysdir%\ antiav_exe.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Auto__antiav__key = %sysdir%\ antiav_exe.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Mitglieder.FP consigue ejecutarse cada vez que Windows se inicia.

Mitglieder.FP borra las siguientes entradas del Registro de Windows, si existen:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Symantec NetDriver Monitor
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ccApp
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NAV CfgWiz
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
SSC_UserPrompt
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
McAfee Guardian
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
APVXDWIN
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
KAV50
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avg7_cc
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
avg7_emc
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Zone Labs Client
HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
McAfee.InstantUpdate.Monitor
Borrando estas entradas, Mitglieder.FP consigue que estas herramientas de seguridad no se ejecuten cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Symantec
HKEY_LOCAL_MACHINE\ SOFTWARE\ McAfee
HKEY_LOCAL_MACHINE\ SOFTWARE\ KasperskyLab
HKEY_LOCAL_MACHINE\ SOFTWARE\ Agnitum
HKEY_LOCAL_MACHINE\ SOFTWARE\ Panda Security
HKEY_LOCAL_MACHINE\ SOFTWARE\ Zone Labs
HKEY_LOCAL_MACHINE\ SOFTWARE\ Trend Micro
Estas entradas corresponden a las opciones de configuración de algunas herramientas de seguridad. Al borrarlas, Mitglieder.FP consigue que no funcionen correctamente.

Método de Propagación

Mitglieder.FP no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles

Mitglieder.FP está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 19536 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info