Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Mitglieder.GB intenta descargar un archivo desde las siguientes páginas web cada cuatro horas, a través de un script PHP:
http://202.4<bloqueado>.38
http://209.1<bloqueado>8.203
http://25<bloqueado>dr.org
http://65.1<bloqueado>95.73
http://75<bloqueado>55.ru
http://80.14<bloqueado>3.41
http://abte<bloqueado>fety.com
http://ace<bloqueado>rum.pl
http://ada<bloqueado>nue.net
http://adop<bloqueado>nada.ca
http://adv<bloqueado>cgroup.com
http://agenci<bloqueado>dinternet.com
http://aha<bloqueado>afe24.com
http://aib<bloqueado>ea.org
http://aik<bloqueado>an.com
http://al<bloqueado>bg.net
http://ale<bloqueado>rligi.ch
http://alfa<bloqueado>ssic.sk
http://all<bloqueado>oni.it
http://alli<bloqueado>.com.au
http://amer<bloqueado>ergyco.com
http://ame<bloqueado>meryka.com
http://am<bloqueado>ra.com
http://anali<bloqueado>sultoria.com
http://av2<bloqueado>.comex.ru
http://cal<bloqueado>rco.com
http://cco <bloqueado>omadrid.org
http://charl <bloqueado>ckerpage.de
http://drin<bloqueado>ter.ru
http://ele<bloqueado>ltek.com
http://furd<bloqueado>oba.info
http://ke<bloqueado>er.kz
http://mij<bloqueado>gdo.net
http://ok<bloqueado>ns.co.jp
http://ph<bloqueado>g.org
http://s8<bloqueado>u.edu.tw
http://saca<bloqueado>dark.net
http://tem<bloqueado>e.nease.net
http://tk<bloqueado>mi.net
http://vir<bloqueado>3.kei.pl
http://www.8i<bloqueado>tlan.hu
http://www.a2<bloqueado>tings.com
http://www.aba<bloqueado>tis.hu
http://www.ad<bloqueado>nt-np.ru
http://www.agro<bloqueado>styka.artneo.pl
http://www.ame<bloqueado>rising.com
http://www.bar<bloqueado>rwery.pl
http://www.bm<bloqueado>depot.com
http://www.etw<bloqueado>ode.de
http://www.le<bloqueado>.co.il
http://www.rew<bloqueado>st.com
http://www.tim<bloqueado>trol.com.pl
http://www.u<bloqueado>u.pl
Una vez descargado, lo guarda con un nombre consistente en un número aleatorio, en la subcarpeta EXEFLD del directorio de Windows, y posteriormente lo ejecuta.
Metodo de Infección
Mitglieder.GB crea el archivo ANTI_TROJ.EXE en el directorio de sistema de Windows. Este archivo es una copia del troyano.
Mitglieder.GB crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
anti_troj = %sysdir%\ anti_troj.exe - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
anti_troj = %sysdir%\ anti_troj.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Mitglieder.GB consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ FirstRRRun
Crea esta entrada como marca de infección, para saber si Mitglieder.GB ha afectado previamente el ordenador.
Método de Propagación
Mitglieder.GB llega al ordenador enviado a través del correo electrónico en un mensaje con las siguientes características:
- Asunto: puede ser uno de los siguientes, entre otros:
Roberte
Sydney
Rebecka
Daniel - Contenido: puede ser uno de los siguientes, entre otros:
FOTO-2
FOTO-4
VIP-foto
Foto land - Archivo adjunto:
Un archivo con nombre aleatorio y extensión ZIP.
Otros Detalles
Mitglieder.GB está escrito en el lenguaje de programación Visual C++ v6. Este troyano tiene un tamaño entre 9275 y 9760 bytes, y está comprimido.