Mitglieder.CN

MITGLIEDER.CN troyano deshabilita antivirus, firewalls intenta descargar un archivo de diversos sitios web.

Troj/Mitglieder.CN, Troj/Bagle.BB

Mitglieder.CN es un troyano residente en memoria reportado el 27 de Junio del 2005, que ingresa furtivamente a los sistemas a través de cualquier servicio de Internet con un archivo de nombre Winshost.exe, deshabilita antivirus, firewalls y software de Control y Seguridad.

Al ser activado ejecuta el programa MS-Paint en forma inocua.

Intenta descargar de una larga relación de direcciones en la web el archivo osa3.gif.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en MS Visual C++ con una extensión de 36 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser ejecutado se copia a la carpeta %System% con los nombres: Winshost.exe (el gusano en sí) Winshost.dll (asociado al archivo ejecutable) para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "winshost.exe" = "%System%\winshost.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "winshost.exe" = "%System%\winshost.exe" con el objeto de marcar los sistemas ya infectados crea las llaves: [HKEY_CURRENT_USER\Software\FirstRun] "FirstRunRR" = "dword:00000001" [HKEY_USERS\DEFAULT\Software\FirstRun] "FirstRunRR" = "dword:00000001" %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. Al siguiente inicio el gusano se activa en memoria y abre la aplicación MS-Paint: luego termina los procesos de cualquiera de los sistemas de seguridad que tengan los siguientes archivos: a5v.dll AUPD1ATE.EXE AUPDATE.EXE AUPDATE.EXE av.dll av.dll Av1synmgr.exe Avc1onsol.exe Avconsol.exe Avconsol.exe avg23emc.exe avgc3c.exe avgcc.exe avgcc.exe avgemc.exe avgemc.exe Avsynmgr.exe Avsynmgr.exe C1CSETMGR.EXE c6a5fix.exe cafix.exe cafix.exe CC1EVTMGR.EXE cc1l30.dll ccA1pp.exe ccApp.exe ccApp.exe CCEVTMGR.EXE CCEVTMGR.EXE ccl30.dll ccl30.dll CCSETMGR.EXE CCSETMGR.EXE ccv1rtrst.dll ccvrtrst.dll ccvrtrst.dll CM1Grdian.exe CMGrdian.exe CMGrdian.exe is5a6fe.exe isafe.exe isafe.exe K2A2V.exe KAV.exe KAV.exe kav12mm.exe kavmm.exe kavmm.exe LUAL1L.EXE LUALL.EXE LUALL.EXE LUI1NSDLL.DLL LUINSDLL.DLL LUINSDLL.DLL Luup1date.exe Luupdate.exe Luupdate.exe Mcsh1ield.exe Mcshield.exe Mcshield.exe mysuperprog.exe NAV1APSVC.EXE NAVAPSVC.EXE NAVAPSVC.EXE NPFM1NTOR.EXE NPFMNTOR.EXE NPFMNTOR.EXE outp1ost.exe outpost.exe outpost.exe RuLa1unch.exe RuLaunch.exe RuLaunch.exe s1ymlcsvc.exe SND1Srvc.exe SNDSrvc.exe SNDSrvc.exe SP1BBCSvc.exe SPBBCSvc.exe SPBBCSvc.exe symlcsvc.exe symlcsvc.exe Up222Date.exe Up2Date.exe Up2Date.exe ve6tre5dir.dll vetredir.dll vetredir.dll Vs1Stat.exe vs6va5ult.dll Vshw1in32.exe Vshwin32.exe Vshwin32.exe VsStat.exe VsStat.exe vsvault.dll vsvault.dll zatu6tor.exe zatutor.exe zatutor.exe zatutor.exe zl5avscan.dll zlavscan.dll zlavscan.dll zlavscan.dll zlcli6ent.exe zlclient.exe zlclient.exe zo3nealarm.exe zonealarm.exe zonealarm.exe zonealarm.exe finalmente el troyano intenta descargar de diversos sitios web el archivo osa3.gif. PER ANTIVIRUS® versión 9.3 con registro de virus al 27 de Junio del 2005 detecta y elimina eficientemente este troyano.