Mitglieder.L

Mitglieder.L, troyano usa sistemas infectados como servidor de Spam deshabilita antivirus firewalls, etc.

Trojan.Mitglieder.L

Mitglieder.L es un troyano reportado el 09 de Junio del 2004, que ingresa furtivamente a los sistemas a los cuales usa como un falso servidor de correo SMTP (Simple Mail Transfer Protocol) para enviar mensajes masivos bajo la modalidad de SPAM.

Asimismo termina los procesos de antivirus, firewalls y software de control.

Puede ser enviado directamente vía Telnet, o través de cualquiera de los servicios de Internet, tales como HTTP, Correo, FTP, Mensajería instantánea, redes P2P, ICQ, etc. o descargado de una página web infectada.

Intenta conectarse a determinados sitios en la web tratando de establecer contacto con el autor del virus.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Assembler, con una extensión de 9 KB.

Al ser ejecutado se auto-copia a la carpeta %System% con el nombre de Windll32.exe y para ejecutarse la próxima vez que se inicie el sistema modifica la siguiente llave de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"windll32.exe" = "%System%\windll32.exe"

También genera las siguientes entradas de registro:

[HKEY_CURRENT_USER\SOFTWARE\Frame\pid=[ID_de_Proceso]
[HKEY_CURRENT_USER\SOFTWARE\Frame\uid=[Valor_alfanumérico_aleatorio]
[HKEY_CURRENT_USER\SOFTWARE\Frame\port=[Puerto_Proxy_de_Escucha]

Al siguiente re-inicio el troyano termina los procesos de los siguientes antivirus, firewalls o programas de monitoreo que se encuentren instalados, dejando al sistema totalmente vulnerable a los virus y ataques de intrusos:

AVPCC.EXE
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
OUTPOST.EXE
AVP32.EXE
_AVPM.EXE
ACKWIN32.EXE
ANTI-TROJAN.EXE
ANTS.EXE
APVXDWIN.EXE
AVCONSOL.EXE
AVE32.EXE
AVGCTRL.EXE
AVKSERV.EXE
AVLTMAIN.EXE
AVNT.EXE
AVP.EXE
AVPCC.EXE
AVPM.EXE
AVPTC32.EXE
AVSCHED32.EXE
BLACKD.EXE
BLACKICE.EXE
CCAPP.EXE
CFGWIZ.EXE
CFIADMIN.EXE
CFINET.EXE
CLEANER.EXE
CLEANER3.EXE
DLLHOST.EXE
DVP95.EXE
F-AGNT95.EXE
F-PROT.EXE
FINDVIRU.EXE
FP-WIN.EXE
FRW.EXE
IAMAPP.EXEIAMSERV.EXE
IBMASN.EXE
ICLOAD95.EXE
ICLOADNT.EXE
ICMON.EXE
ICSUPPNT.EXE
IFACE.EXE
LOCKDOWN2000.EXE
MOOLIVE.EXE
MPFTRAY.EXE
MSBLAST.EXE
MSPATCH.EXE
N32SCANW.EXE
NAVAPSVC.EXE
NAVAPW32.EXE
NAVW32.EXE
NAVWNT.EXE
NISUM.EXE
OUTPOST.EXE
PANDA
PAVCL.EXE
PAVSCHED.EXE
PAVW.EXE
PENIS32.EXE
QCONSOLE.EXE
RAV7
SCAN32.EXE
SCANPM.EXE
SCRSCAN.EXE
SERV95.EXE
SPHINX.EXE
TCA.EXE
TFTPD.EXE
VSCAN40.EXE
VSECOMR.EXE
VSHWIN32.EXE
VSMON.EXE
VSSTAT.EXE
WEBSCANX.EXE
WFINDV32.EXE
WINPPR32.EXE
WRADMIN.EXE
WRCTRL.EXE
WUPDMGR.EXE
ZONEALARM.EXE
_AVP32.EXE
WINPPR32.EXE
DFW.EXE
FSAV32.EXE
FSBWSYS.EXE
FSGK32.EXE
FSM32.EXE
FSSM32.EXE
FVPROTECT.EXE
MCAGENT.EXE
NAVDX.EXE
NAVSTUB.EXE
NC2000.EXE
NDD32.EXE
NETARMOR.EXE
NETINFO.EXE
NETMON.EXE
NMAIN.EXE
NPROTECT.EXE
NTVDM.EXE
OSTRONET.EXE
PCCGUIDE.EXE
PCCIOMON.EXE
TNBUTIL.EXE
VBCONS.EXE
VBSNTW.EXE
VBUST.EXE
VSMAIN.EXE
ZONALARM.EXE

El troyano configura un proxy de escucha y habilita un falso servidor de correo no deseado (Mail Relay) a través de un puerto que por defecto es el TCP 39999 (no asignado) empleado por lo general para el envío de SPAM.

El troyano intenta conectarse a una determinada página de cualquiera de los siguientes sitios web con el objeto de descargar un archivo con código maligno y para notificar al autor del virus:

raymondj.net
jimmuennich.web.aplus.net
ofallonzone.com
www.heavenfreepages.com
fwhite.phpwebhosting.com
123445.linux17.hostbasket.com
gorrrotory.com
hopptoron.com
www.freespaceunlimited.com
www.etoortp.com
worrtory.com
seat-xl.biz
testakk.org

(Actualmente la mayoría de estos portales han sido restringidos o deshabilitados)

Sus payloads son los siguientes:

Se propaga a través de Telnet o cualquiera de los servicios de Internet.
Termina los procesos de antivirus, firewall y software de control.
Configura un proxy de escucha y habilita un falso servidor de correo no deseado (Mail Relay) que por defecto es el TCP 39999 empleado mayormente para el envío de SPAM.
Intenta conectarse a diversos sitios en la web para descargada un archivo conteniendo código maligno y para notificar al autor del troyano.

PER ANTIVIRUS® versión 8.7 con registro de virus al 09 de Junio del 2004 detecta y elimina este troyano.