Virus Mitglieder.FK

La Peligrosidad varía según el Daño y la Propagación


Peligrosidad			Propagación			Daño

Descripción

Detalles

Solución

Estadísticas

Efectos:

Mitglieder.FK intenta descargar un archivo desde las siguientes páginas web cada cuatro horas, a través de un script PHP:

http://1st<bloqueado>orleans-hotels.com
http://202<bloqueado>2.38
http://209<bloqueado>128.203
http://25k<bloqueado>rg
http://65.<bloqueado>95.73
http://757<bloqueado>.ru
http://80.<bloqueado>33.41
http://abt<bloqueado>fety.com
http://ace<bloqueado>m.pl
http://ada<bloqueado>.net
http://ado<bloqueado>scanada.ca
http://adv<bloqueado>group.com
http://afr<bloqueado>ours.de
http://age<bloqueado>publicidadinternet.com
http://aha<bloqueado>fe24.com
http://aib<bloqueado>.org
http://aik<bloqueado>com
http://ala<bloqueado>.net
http://ale<bloqueado>ligi.ch
http://alf<bloqueado>sic.sk
http://all<bloqueado>i.it
http://all<bloqueado>com.au
http://ame<bloqueado>energyco.com
http://ame<bloqueado>meryka.com
http://ami<bloqueado>com
http://ana<bloqueado>yconsultoria.com
http://av2<bloqueado>omex.ru
http://cal<bloqueado>o.com
http://cco<bloqueado>madrid.org
http://cha<bloqueado>-truckerpage.de
http://dri<bloqueado>er.ru
http://ele<bloqueado>k.com
http://fur<bloqueado>ba.info
http://hom<bloqueado>0km.ru
http://kep<bloqueado>r.kz
http://lif<bloqueado>ks.de
http://mij<bloqueado>do.net
http://okl<bloqueado>o.jp
http://phr<bloqueado>.org
http://s89<bloqueado>edu.tw
http://sac<bloqueado>dark.net
http://sar<bloqueado>a.ru
http://tem<bloqueado>.nease.net
http://tkd<bloqueado>.net
http://vir<bloqueado>.kei.pl
http://wun<bloqueado>lampe.com
http://www.8in<bloqueado>lan.hu
http://www.a2z<bloqueado>tings.com
http://www.aba<bloqueado>tis.hu
http://www.ada<bloqueado>t-np.ru
http://www.agro<bloqueado>tyka.artneo.pl
http://www.ame<bloqueado>ising.com
http://www.aro<bloqueado>.com
http://www.bar<bloqueado>rwery.pl
http://www.bms<bloqueado>epot.com
http://www.etw<bloqueado>de.de
http://www.lea<bloqueado>co.il
http://www.OTT<bloqueado>IDE.de
http://www.rew<bloqueado>st.com
http://www.sta<bloqueado>kowalczyk.netstrefa.com
http://www.tim<bloqueado>ol.com.pl
http://www.ub<bloqueado>pl

Una vez descargado, lo guarda con un nombre consistente en un número aleatorio, en la subcarpeta EXEFLD del directorio de Windows, y posteriormente lo ejecuta.

Metodo de infección:

Mitglieder.FK crea los siguientes archivos en el directorio de sistema de Windows:

HLOADER_EXE.EXE. Este archivo es una copia del troyano, que crea el archivo que se menciona a continuación la siguiente vez que se inicia el ordenador.
HLEADER_DLL.DLL, que tiene 5632 Bytes. Este archivo es una DLL (Librería de Enlace Dinámico) que es inyectada en el proceso EXPLORER.EXE, y se encarga de realizar las acciones llevadas a cabo por Mitglieder.FK.

Mitglieder.FK crea las siguientes entradas en el Registro de Windows:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Auto__hloader__key = %sysdir%\ hloader_exe.exe
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Auto__hloader__key = %sysdir%\ hloader_exe.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas entradas, Mitglieder.FK consigue ejecutarse cada vez que Windows se inicia.

Metodo de propagación:

Mitglieder.FK llega al ordenador enviado a través del correo electrónico por el gusano detectado como Bagle.FN en un mensaje que contiene alguno de los siguientes archivos adjuntos:

BUSINESS.ZIP
BUSINESS_DEALING.ZIP
HEALTH_AND_KNOWLEDGE.ZIP
INFO_PRICES.ZIP
MAX.ZIP
TEXT_SMS.ZIP
THE_NEW_PRICES.ZIP

Otros detalles:

Mitglieder.FK está escrito en el lenguaje de programación Visual C++ v6.0. Este troyano tiene un tamaño de 9728 Bytes.