x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Meve

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Meve produce los siguientes efectos en el ordenador afectado:

  • Elimina numerosas líneas del fichero SYSTEM.INI, provocando así que algunas aplicaciones (programas,  drivers, etc), dejen de funcionar.
  • Abre diversos puertos de comunicaciones, convirtiendo así en vulnerable al ordenador afectado. A través de esos puertos, un hacker puede ganar acceso, de manera remota, a los recursos del equipo.
  • Abre el navegador de Internet y muestra imágenes de Evo Morales.
  • Se conecta aleatoriamente a algunas páginas web de noticias, como por ejemplo:

    http://jeremybigwood.net
    http://news.bbc.co.uk
    http://www.commondreams.org/headlines/images/100700-01.jpg
    http://www-ni.laprensa.com.ni
    http://www.soc.uu.se
    http://www.cannabisculture.com
    http://www.chilevive.cl
    http://membres.lycos.fr
    http://news.bbc.co.uk

    http://www.movimientos.org

Metodo de Infección 

Meve crea los siguientes ficheros:

  • INTERNET DOWNLOAD                        .EXE, ALL USERS.EXE, COMMAND.EXE, HOT GIRL.SCR, HOTMAILPASS.EXE, INF.EXE, INTERNET FILE.EXE, PART HARD DISK.EXE, SHELL.EXE, SYSTEM.EXE, SYSTEM32.EXE, SYSTEM64.PIF y TEMP.EXE en el directorio de Windows. Son copias del gusano, que tienen un tamaño de 188928 Bytes.
  • INF.EXE, NET.COM  WWW.MICROSOFT.COM  en el directorio de sistema de Windows. Son copias del gusano, que tienen un tamaño de 188928 Bytes.

Meve modifica los siguientes ficheros:

  • SYSTEM.INI. En este fichero, el gusano:
    - Introduce una línea de texto, para asegurar su ejecución cada vez que se inicia Windows.
       [boot] "Shell" = explorer.exe temp.exe
    - Borra diversas líneas, provocando que algunas aplicaciones no funcionen correctamente.
  • WIN.INI. Introduce las siguientes líneas de código, para ser ejecutado cada vez que se inicia Windows:

    [windows] "load" =archivo.exe
    [windows] "run"= archivo.exe

Meve crea las siguientes claves en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\  
    Run "System"=%WinDir%\ system.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\
    Run\ 1\ 2\ 3\ 4 "System"=%WinDir%\ system.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\   
    RunSevices "System"=%WinDir%\ system.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\
    RunSevicesOnce "System"=%WinDir%\ temp.exe
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\   
    Run "System"=%WinDir%\ system.exe
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\   
    Run\ 1\ 2\ 3\ 4 "System"=%WinDir%\ temp.exe
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\   
    RunSevices "System"=%WinDir%\ commands.com
    Crea estas siete claves para ser ejecutado cada vez que se inicia Windows.

Meve modifica las siguientes claves del Registro de Windows:

  • HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
    "(Default)" = "%WinDir%\ temp.exe", "%1" %*

  • HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
    "(Default)" = "%WinDir\ Inf.exe", "%1" %*

  • HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command
    "(Default)" = "%WinDir%\ command.exe", "%1" %*

  • HKEY_CLASSES_ROOT\ htafile\ Shell\ Open\ Command
    "(Default)" = "%WinDir%"\ commands.com", "%1" %*

  • HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
    "(Default)" = "%WinDir%\ commands.com", "%1" %*

    Crea estas cinco claves de Registro para ser ejecutado antes de que en el ordenador se ejecute un fichero con extensión PIF, HTA, EXE, COM o BAT.

Método de Propagación 

Meve se propaga a través del correo electrónico, en un mensaje con las siguientes características:

  • Asunto:
    El adelanto de matrix ta gueno?
  • Contenido del mensaje:
    Pablo_Hack
    Oye te U paso el programa para entrar a cuentas del messenger, y facilingo te lo paso a voz nomas, prometeme que no se lo pasas a nadie, ya?Respondeme que tal te parecio. chau?
  • Fichero adjunto:
    HOTMAILPASS.EXE

Una vez afectado el equipo, Meve envía una copia de sí mismo a todas las direcciones que encuentre en la Lista de contactos del Messenger.

Otros Detalles  

El fichero que provoca la infección tiene un tamaño de 188928 Bytes.