Virus Mitglieder.DQ

Efectos:

Mitglieder.DQ realiza las siguientes acciones:

• Finaliza los siguientes procesos, que en su mayoría que pertenecen a aplicaciones que realizan actualizaciones de diferentes programas antivirus:
  
  ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, UPDATE.EXE y UPGRADER.EXE.
• También finaliza los siguientes procesos, si se encuentran activos:
  
  a5v.dll, AUPD1ATE.EXE, AUPDATE.EXE, av.dll, Av1synmgr.exe, Avc1onsol.exe, Avconsol.exe, avg23emc.exe, avgc3c.exe, avgcc.exe, avgemc.exe, Avsynmgr.exe, C1CSETMGR.EXE, c6a5fix.exe, cafix.exe, CC1EVTMGR.EXE, cc1l30.dll, ccA1pp.exe, ccApp.exe, CCEVTMGR.EXE, ccl30.dll, CCSETMGR.EXE, ccv1rtrst.dll, ccvrtrst.dll, CM1Grdian.exe, CMGrdian.exe, is5a6fe.exe, isafe.exe, K2A2V.exe, KAV.exe, kav12mm.exe, kavmm.exe, LUAL1L.EXE, LUALL.EXE, LUI1NSDLL.DLL, LUINSDLL.DLL, Luup1date.exe, Luupdate.exe, Mcsh1ield.exe, Mcshield.exe, mysuperprog.exe, NAV1APSVC.EXE, NAVAPSVC.EXE, NPFM1NTOR.EXE, NPFMNTOR.EXE, outp1ost.exe, outpost.exe, RuLa1unch.exe, RuLaunch.exe, s1ymlcsvc.exe, SND1Srvc.exe, SNDSrvc.exe, SP1BBCSvc.exe, SPBBCSvc.exe, symlcsvc.exe, Up222Date.exe, Up2Date.exe, ve6tre5dir.dll, vetredir.dll, Vs1Stat.exe, vs6va5ult.dll, Vshw1in32.exe, Vshwin32.exe, VsStat.exe, vsvault.dll, zatu6tor.exe, zatutor.exe, zl5avscan.dll, zlavscan.dll, zlcli6ent.exe, zlclient.exe, zo3nealarm.exe, zonealarm.exe.
• Detiene aquellos servicios que contengan alguna de las siguientes cadenas de texto:
  AVExch32Service AVPCC AVUPDService Ahnlab task Scheduler AlertManger AvgCore AvgFsh AvgServ AvxIni BackWeb Client - 7681197 BlackICE CAISafe DefWatch F-Secure Gatekeeper Handler Starter FSDFWD FSMA KAVMonitorService KLBLMain MCVSRte McAfee Firewall McAfeeFramework McShield McTaskManager MonSvcNT NISSERV NISUM NOD32ControlCenter NOD32Service NPFMntor NProtectService NSCTOP NVCScheduler NWService Network Associates Log Service Norman NJeeves Norman ZANDA Norton Antivirus Server Outbreak Manager Outpost Firewall OutpostFirewall PASSRV PAVFNSVR PAVSRV PCCPFW PREVSRV PSIMSVC PavPrSrv PavProt Pavkre PersFW SAVFMSE SAVScan SBService SNDSrvc SPBBCSvc SWEEPSRV.SYS SharedAccess SmcService SweepNet Symantec AntiVirus Client Symantec Core LC Tmntsrv V3MonNT V3MonSvc VexiraAntivirus VisNetic AntiVirus Plug-in XCOMM alerter avg7alrt avg7updsvc avpcc awhost32 backweb client - 4476822 backweb client-4476822 ccEvtMgr ccPwdSvc ccSetMgr ccSetMgr.exe dvpapi dvpinit fsbwsys fsdfwd kavsvc mcupdmgr.exe navapsvc nvcoas nwclntc nwclntd nwclnte nwclntf nwclntg nwclnth ravmon8 schscnt sharedaccess vsmon wuauserv
  Estos servicios están en su mayoría relacionados con programas antivirus y cortafuegos, entre otros.
• Borra archivos fundamentales para el funcionamiento de dichas herramientas.
• Intenta descargar el archivo OSA3.GIF desde las siguientes páginas web:
  
  http://www. 21ebuild. com
  http://www. 51. net
  http://www. acsohio. com
  http://www. agria. hu
  http://www. andi. com. vn
  http://www. angham. de
  http://www. ascolfibras. com
  http://www. automobilonline. de
  http://www. bangyan. cn
  http://www. beall-cpa. com
  http://www. bolz. at
  http://www. bs-security. de
  http://www. centrovestecasa. it
  http://www. contentproject. com
  http://www. festivalteatrooccidente. com
  http://www. cz-wanjia. com
  http://www. czwanqing. com
  http://www. czzm. com
  http://www. checkonemedia. nl
  http://www. datanet. huwww. datanet. hu
  http://www. designgong. org
  http://www. dgy. com. cn
  http://www. die-fliesen. de
  http://www. discoteka-funfactory. com
  http://www. dom-invest. com. pl
  http://www. eagle. com. cn
  http://www. eagleclub. com. cn
  http://www. ehc. hu
  http://www. elvis-presley. ch
  http://www. engelhardtgmbh. de
  http://www. externet. hu
  http://www. fahrschule-herb. de
  http://www. fahrschule-lesser. de
  http://www. fermegaroy. com
  http://www. festivalteatrooccidente. com
  http://www. formholz. at
  http://www. fotomax. fi
  http://www. gemtrox. com. tw
  http://www. gepeters. org
  http://www. gimex-messzeuge. de
  http://www. gomyhome. com. tw
  http://www. gymzn. cz
  http://www. hondenservice. be
  http://www. idaf. de
  http://www. idcs. be
  http://www. ider. cl
  http://www. inside-tgweb. de
  http://www. izoli. sk
  http://www. jcm-american. com
  http://www. jeoushinn. com
  http://www. jingjuok. com
  http://www. jue-bo. com
  http://www. kingsley. ch
  http://www. marketvw. com
  http://www. megaserve. net
  http://www. mild. at
  http://www. niko. de
  http://www. nikogmbh. com
  http://www. olva. com. pe
  http://www. on24. ee
  http://www. onlink. net
  http://www. ppm-alliance. de
  http://www. presley. ch
  http://www. renegaderc. com
  http://www. replayu. com
  http://www. sachsenbuecher. de
  http://www. sanjinyuan. com
  http://www. scvanravenswaaij. nl
  http://www. slovanet. sk
  http://www. snsphoto. com
  http://www. societaet. de
  http://www. soeco. org
  http://www. softmajor. ru
  http://www. solt3. org
  http://www. spacium. biz
  http://www. speedcom. home. pl
  http://www. spirit-in-steel. at
  http://www. spoden. de
  http://www. sportnf. com
  http://www. spy. az
  http://www. sqnsolutions. com
  http://www. stbs. com. hk
  http://www. steripharm. com
  http://www. st-paulus-bonn. dehtdocs
  http://www. students. stir. ac. uk
  http://www. subsplanet. com
  http://www. sungodbio. com
  http://www. superbetcs. com
  http://www. sweb. cz
  http://www. sydolo. com
  http://www. szdiheng. com
  http://www. tcicampus. net
  http://www. techni. com. cn
  http://www. tg-sandhausen-basketball. de
  http://www. thaifast. com
  http://www. thaiventure. com
  http://www. thefunkiest. com
  http://www. thenextstep. tv
  http://www. thetexasoutfitter. com
  http://www. th-mutan. com
  http://www. tmhcsd1987. friko. pl
  http://www. toussain. be
  http://www. trago. com. pt
  http://www. travelourway. com
  http://www. trgd. dobrcz. pl
  http://www. triapex. cz
  http://www. triptonic. ch
  http://www. tv-marina. com
  http://www. udc-cassinadepecchi. it
  http://www. universe. sk
  http://www. uspowerchair. com
  http://www. uw. hu
  http://www. vercruyssenelektro. be
  http://www. vet24h. com
  http://www. vinimeloni. com
  http://www. vnn. vn
  http://www. vnrvjiet. ac. in
  http://www. vote2fateh. com
  http://www. vw. press-bank. pl
  http://www. wamba. asn. au
  http://www. wdlp. co. za
  http://www. welchcorp. com
  http://www. wesartproductions. com
  http://www. wilsonscountry. com
  http://www. windstar. pl
  http://www. wise-industries. com
  http://www. witold. pl
  http://www. wombband. com
  http://www. xiantong. net
  http://www. xmpie. com
  http://www. xmtd. com
  http://www. xojc. com
  http://www. x-treme. cz
  http://www. yannick-spruyt. be
  http://www. yayadownload. com
  http://www. yesterdays. co. za
  http://www. yshkj. com
  http://www. zakazcd. dp. ua
  http://www. zenesoftware. com
  http://www. zentek. co. za
  http://www. zorbas. az
  http://www. zsbersala. edu. sk
  
  Aunque este archivo simula ser una imagen de tipo GIF, en realidad es un archivo ejecutable.

Metodo de infección:

Mitglieder.DQ crea los siguientes archivos en el directorio de sistema de Windows:

• WINSHOST.EXE. Este archivo es una copia del troyano.
• WIWSHOST.EXE, que es una DLL (Librería de Enlace Dinámico) perteneciente al troyano. Dicha DLL es inyectada en el proceso de sistema llamado explorer.exe, de forma que quede residente en memoria.

Mitglieder.DQ modifica el archivo HOSTS, sobrescribiéndolo con el siguiente texto:
127.0.0.1 localhost

Mitglieder.DQ borra los siguientes archivos, independientemente de la unidad en la que se encuentren:

A5V.DLL, AUPD1ATE.EXE, AUPDATE.EXE, AV.DLL, AV1SYNMGR.EXE, AVC1ONSOL.EXE, AVCONSOL.EXE, AVG23EMC.EXE, AVGC3C.EXE, AVGCC.EXE, AVGEMC.EXE, AVSYNMGR.EXE, C1CSETMGR.EXE, C6A5FIX.EXE, CAFIX.EXE, CC1EVTMGR.EXE, CC1L30.DLL, CCA1PP.EXE, CCAPP.EXE, CCEVTMGR.EXE, CCL30.DLL, CCSETMGR.EXE, CCV1RTRST.DLL, CCVRTRST.DLL, CM1GRDIAN.EXE, CMGRDIAN.EXE, IS5A6FE.EXE, ISAFE.EXE, K2A2V.EXE, KAV.EXE, KAV12MM.EXE, KAVMM.EXE, LUAL1L.EXE, LUALL.EXE, LUI1NSDLL.DLL, LUINSDLL.DLL, LUUP1DATE.EXE, LUUPDATE.EXE, MCSH1IELD.EXE, MCSHIELD.EXE, NAV1APSVC.EXE, NAVAPSVC.EXE, NPFM1NTOR.EXE, NPFMNTOR.EXE, OUTP1OST.EXE, OUTPOST.EXE, RULA1UNCH.EXE, RULAUNCH.EXE, S1YMLCSVC.EXE, SND1SRVC.EXE, SNDSRVC.EXE, SP1BBCSVC.EXE, SPBBCSVC.EXE, SYMLCSVC.EXE, UP222DATE.EXE, UP2DATE.EXE, VE6TRE5DIR.DLL, VETREDIR.DLL, VS1STAT.EXE, VS6VA5ULT.DLL, VSHW1IN32.EXE, VSHWIN32.EXE, VSSTAT.EXE, VSVAULT.DLL, ZATU6TOR.EXE, ZATUTOR.EXE, ZL5AVSCAN.DLL, ZLAVSCAN.DLL, ZLCLI6ENT.EXE, ZLCLIENT.EXE, ZO3NEALARM.EXE y ZONEALARM.EXE.

Mitglieder.DQ crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  winshost.exe = %sysdir%\ winshost.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  winshost.exe = %sysdir%\ winshost.exe
  donde %sysdir% es el directorio del sistema.
  Mediante estas entradas, Mitglieder.DQ consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ FirstRun
  FirstRunRR = 0x00000001
  Mitglieder.DQ utiliza esta entrada como marca de infección, para comprobar si ya ha afectado previamente el ordenador.

Mitglieder.DQ modifica las siguientes entradas del Registro de Windows :

• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
  Start = 03, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
  Start = 04, 00, 00, 00
  De esta forma, desactiva el cortafuegos incluido en Windows XP.
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ wuauserv
  Start = 02, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ wuauserv
  Start = 04, 00, 00, 00
  Mediante esta modificación, Mitglieder.DQ desactiva las actualizaciones automáticas de Windows (Windows Update).

Metodo de propagación:

Mitglieder.DQ no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros detalles:

Mitglieder.DQ está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 36864 Bytes.