publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Mitglieder.EV

Virus Mitglieder.EV

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Mitglieder.EV realiza las siguientes acciones:

  • Finaliza los siguientes procesos, que en su mayoría que pertenecen a aplicaciones que realizan actualizaciones de diferentes programas antivirus:

    ATUPDATER.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVPUPD.EXE, AVWUPD32.EXE, AVXQUAR.EXE, CFIAUDIT.EXE, DRWEBUPW.EXE, ESCANH95.EXE, ESCANHNT.EXE, FIREWALL.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, LUALL.EXE, MCUPDATE.EXE, NUPGRADE.EXE, OUTPOST.EXE, UPDATE.EXE y UPGRADER.EXE.
  • Detiene aquellos servicios que contengan alguna de las siguientes cadenas de texto:

    Ahnlab task Scheduler, alerter, AlertManger, AVExch32Service, avg7alrt, avg7updsvc, AvgCore, AvgFsh, AvgServ, avpcc, AVPCC, AVUPDService, AvxIni, awhost32, backweb client - 4476822, BackWeb Client - 7681197, backweb client-4476822, BlackICE, CAISafe, ccEvtMgr, ccPwdSvc, ccSetMgr, ccSetMgr.exe, DefWatch, dvpapi, dvpinit, fsbwsys, fsdfwd, FSDFWD, F-Secure Gatekeeper Handler Starter, FSMA, KAVMonitorService, kavsvc, KLBLMain, McAfee Firewall, McAfeeFramework, McShield, McTaskManager, mcupdmgr.exe, MCVSRte, MonSvcNT, navapsvc, Network Associates Log Service, NISSERV, NISUM, NOD32ControlCenter, NOD32Service, Norman NJeeves, Norman ZANDA, Norton Antivirus Server, NPFMntor, NProtectService, NSCTOP, nvcoas, NVCScheduler, nwclntc, nwclntd, nwclnte, nwclntf, nwclntg, nwclnth, NWService, Outbreak Manager, Outpost Firewall, OutpostFirewall, PASSRV, PAVFNSVR, Pavkre, PavProt, PavPrSrv, PAVSRV, PCCPFW, PersFW, PREVSRV, PSIMSVC, ravmon8, SAVFMSE, SAVScan, SBService, schscnt, SharedAccess, sharedaccess, SmcService, SNDSrvc, SPBBCSvc, SweepNet, SWEEPSRV.SYS, Symantec AntiVirus Client, Symantec Core LC, Tmntsrv, V3MonNT, V3MonSvc, VexiraAntivirus, VisNetic AntiVirus Plug-in, vsmon, wuauserv y XCOMM.
    Estos servicios están en su mayoría relacionados con programas antivirus y cortafuegos, entre otros.
  • Borra archivos fundamentales para el funcionamiento de dichas herramientas.
  • Elimina entradas del Registro de Windows que les permiten iniciarse automáticamente cuando se enciende el ordenador.
  • Intenta descargar el archivo OSA5.GIF desde las siguientes páginas web:

    http:// www. 21ebuild. com
    http:// www. 51. net
    http:// www. acsohio. com
    http:// www. agria. hu
    http:// www. andi. com. vn
    http:// www. angham. de
    http:// www. ascolfibras. com
    http:// www. automobilonline. de
    http:// www. bangyan. cn
    http:// www. beall-cpa. com
    http:// www. bolz. at
    http:// www. bs-security. de
    http:// www. centrovestecasa. it
    http:// www. checkonemedia. nl
    http:// www. contentproject. com
    http:// www. cz-wanjia. com
    http:// www. czwanqing. com
    http:// www. czzm. com
    http:// www. datanet. huwww. datanet. hu
    http:// www. designgong. org
    http:// www. dgy. com. cn
    http:// www. die-fliesen. de
    http:// www. discoteka-funfactory. com
    http:// www. dom-invest. com. pl
    http:// www. eagle. com. cn
    http:// www. eagleclub. com. cn
    http:// www. ehc. hu
    http:// www. elvis-presley. ch
    http:// www. engelhardtgmbh. de
    http:// www. externet. hu
    http:// www. fahrschule-herb. de
    http:// www. fermegaroy. com
    http:// www. festivalteatrooccidente. com
    http:// www. formholz. at
    http:// www. fotomax. fi
    http:// www. gemtrox. com. tw
    http:// www. gepeters. org
    http:// www. gimex-messzeuge. de
    http:// www. gomyhome. com. tw
    http:// www. gymzn. cz
    http:// www. hondenservice. be
    http:// www. idaf. de
    http:// www. idcs. be
    http:// www. ider. cl
    http:// www. inside-tgweb. de
    http:// www. izoli. sk
    http:// www. jcm-american. com
    http:// www. jeoushinn. com
    http:// www. jingjuok. com
    http:// www. jue-bo. com
    http:// www. kingsley. ch
    http:// www. marketvw. com
    http:// www. megaserve. net
    http:// www. mild. at
    http:// www. niko. de
    http:// www. nikogmbh. com
    http:// www. olva. com. pe
    http:// www. on24. ee
    http:// www. onlink. net
    http:// www. ppm-alliance. de
    http:// www. presley. ch
    http:// www. renegaderc. com
    http:// www. replayu. com
    http:// www. sachsenbuecher. de
    http:// www. sanjinyuan. com
    http:// www. scvanravenswaaij. nl
    http:// www. slovanet. sk
    http:// www. snsphoto. com
    http:// www. societaet. de
    http:// www. soeco. org
    http:// www. softmajor. ru
    http:// www. solt3. org
    http:// www. spacium. biz
    http:// www. speedcom. home. pl
    http:// www. spirit-in-steel. at
    http:// www. spoden. de
    http:// www. sportnf. com
    http:// www. spy. az
    http:// www. sqnsolutions. com
    http:// www. stbs. com. hk
    http:// www. steripharm. com
    http:// www. st-paulus-bonn. dehtdocs
    http:// www. students. stir. ac. uk
    http:// www. subsplanet. com
    http:// www. sungodbio. com
    http:// www. superbetcs. com
    http:// www. sweb. cz
    http:// www. sydolo. com
    http:// www. szdiheng. com
    http:// www. tcicampus. net
    http:// www. techni. com. cn
    http:// www. tg-sandhausen-basketball. de
    http:// www. thaifast. com
    http:// www. thaiventure. com
    http:// www. thefunkiest. com
    http:// www. thenextstep. tv
    http:// www. thetexasoutfitter. com
    http:// www. th-mutan. com
    http:// www. tmhcsd1987. friko. pl
    http:// www. toussain. be
    http:// www. trago. com. pt
    http:// www. travelourway. com
    http:// www. trgd. dobrcz. pl
    http:// www. triapex. cz
    http:// www. triptonic. ch
    http:// www. tv-marina. com
    http:// www. udc-cassinadepecchi. it
    http:// www. universe. sk
    http:// www. uspowerchair. com
    http:// www. uw. hu
    http:// www. vercruyssenelektro. be
    http:// www. vet24h. com
    http:// www. vinimeloni. com
    http:// www. vnn. vn
    http:// www. vnrvjiet. ac. in
    http:// www. vote2fateh. com
    http:// www. vw. press-bank. pl
    http:// www. wamba. asn. au
    http:// www. wdlp. co. za
    http:// www. welchcorp. com
    http:// www. wesartproductions. com
    http:// www. wilsonscountry. com
    http:// www. windstar. pl
    http:// www. wise-industries. com
    http:// www. witold. pl
    http:// www. wombband. com
    http:// www. xiantong. net
    http:// www. xmpie. com
    http:// www. xmtd. com
    http:// www. xojc. com
    http:// www. x-treme. cz
    http:// www. yannick-spruyt. be
    http:// www. yayadownload. com
    http:// www. yesterdays. co. za
    http:// www. yshkj. com
    http:// www. zakazcd. dp. ua
    http:// www. zenesoftware. com
    http:// www. zentek. co. za
    http:// www. zorbas. az
    http:// www. zsbersala. edu. sk
    Aunque este archivo simula ser una imagen de tipo GIF, en realidad es un archivo ejecutable.

Metodo de infección:

Mitglieder.EV crea los siguientes archivos en el directorio de sistema de Windows:

  • WINSHOST.EXE. Este archivo es una copia del troyano.
  • WIWSHOST.EXE, que es una DLL (Librería de Enlace Dinámico) perteneciente al troyano. Dicha DLL es inyectada en el proceso de sistema llamado explorer.exe, de forma que quede residente en memoria.

Mitglieder.EV modifica el archivo HOSTS, sobrescribiéndolo con el siguiente texto:
127.0.0.1 localhost

Mitglieder.EV borra los siguientes archivos, independientemente de la unidad en la que se encuentren:

A5V.DLL, AUPD1ATE.EXE, AUPDATE.EXE, AV.DLL, AV1SYNMGR.EXE, AVC1ONSOL.EXE, AVCONSOL.EXE, AVG23EMC.EXE, AVGC3C.EXE, AVGCC.EXE, AVGEMC.EXE, AVSYNMGR.EXE, C1CSETMGR.EXE, C6A5FIX.EXE, CAFIX.EXE, CC1EVTMGR.EXE, CC1L30.DLL, CCA1PP.EXE, CCAPP.EXE, CCEVTMGR.EXE, CCL30.DLL, CCSETMGR.EXE, CCV1RTRST.DLL, CCVRTRST.DLL, CM1GRDIAN.EXE, CMGRDIAN.EXE, IS5A6FE.EXE, ISAFE.EXE, K2A2V.EXE, KAV.EXE, KAV12MM.EXE, KAVMM.EXE, LUAL1L.EXE, LUALL.EXE, LUI1NSDLL.DLL, LUINSDLL.DLL, LUUP1DATE.EXE, LUUPDATE.EXE, MCSH1IELD.EXE, MCSHIELD.EXE, MYSUPERPROG.EXE, NAV1APSVC.EXE, NAVAPSVC.EXE, NPFM1NTOR.EXE, NPFMNTOR.EXE, OUTP1OST.EXE, OUTPOST.EXE, RULA1UNCH.EXE, RULAUNCH.EXE, S1YMLCSVC.EXE, SND1SRVC.EXE, SNDSRVC.EXE, SP1BBCSVC.EXE, SPBBCSVC.EXE, SYMLCSVC.EXE, UP222DATE.EXE, UP2DATE.EXE, VE6TRE5DIR.DLL, VETREDIR.DLL, VS1STAT.EXE, VS6VA5ULT.DLL, VSHW1IN32.EXE, VSHWIN32.EXE, VSSTAT.EXE, VSVAULT.DLL, ZATU6TOR.EXE, ZATUTOR.EXE, ZL5AVSCAN.DLL, ZLAVSCAN.DLL, ZLCLI6ENT.EXE, ZLCLIENT.EXE, ZO3NEALARM.EXE, ZONEALARM.EXE.

 

Mitglieder.EV crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    winshost.exe = %sysdir%\ winshost.exe
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    winshost.exe = %sysdir%\ winshost.exe
    donde %sysdir% es el directorio del sistema.
    Mediante estas entradas, Mitglieder.EV consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_CURRENT_USER\ Software\ FirstRun
    FirstRunRR = 01, 00, 00, 00
    Mitglieder.EV utiliza esta entrada como marca de infección, para comprobar si ya ha afectado previamente el ordenador.

 

Mitglieder.EV modifica las siguientes entradas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
    Start = 03, 00, 00, 00
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess
    Start = 04, 00, 00, 00
    De esta forma, desactiva el cortafuegos incluido en Windows XP.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ wuauserv
    Start = 02, 00, 00, 00
    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ wuauserv
    Start = 04, 00, 00, 00
    Mediante esta modificación, Mitglieder.EV desactiva las actualizaciones automáticas de Windows (Windows Update).

Mitglieder.EV borra las siguientes entradas, si existen:

  • HKEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    McAfee.InstantUpdate.Monitor
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Symantec NetDriver Monitor
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ccApp
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    NAV CfgWiz
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    SSC_UserPrompt
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    McAfee Guardian
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    APVXDWIN
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    KAV50
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    avg7_cc
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    avg7_emc
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    Zone Labs Client
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Agnitum
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ KasperskyLab
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ McAfee
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Panda Software
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Symantec
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Zone Labs
    Estas entradas pertenecen a diversas herramientas de seguridad, entre otras, y les permiten ejecutarse en cada inicio de Windows y almacenan diversas opciones de configuración.

Metodo de propagación:

Mitglieder.EV no se propaga automáticamente por sus propios medios, sino que ha sido enviado masivamente como archivo adjunto en un mensaje de correo electrónico.

Otros detalles:

Mitglieder.EV está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 14340 Bytes, y está comprimido con una versión modificada de PeX.

Sin embargo, dichas modificaciones hacen que Mitglieder.EV sólo funcione correctamente en ordenadores con Windows Me/98/95.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork