Munia

MUNIA destructivo gusano substrae información deshabilita Servicios de Acceso Remoto infecta archivos EXE y procesos.

W32/Munia

Munia es un destructivo gusano residente en memoria reportado el 07 de Agosto del 2006, que se propaga a través de diversos servicios de Internet, pudiendo ser descargado de algunas páginas web conteniendo el código maligno.

Substrae contraseñas e inhabilita los Servicios de Enrutamiento y Acceso Remoto de Microsoft (RRAS).

Infecta los archivos ejecutables que son abiertos e inserta su código viral en todos los procesos en ejecución, dejándolos inoperativos. Infecta además los procesos en ejecución, que quedarán inutilizables.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en MS Visual C++, con una extensión variable y comprimido con rutinas propias del autor.

Al activarse se copia a las siguientes rutas y con los nombres:

%Windir%\Downloaded Program Files\muniu.exe
%Windir%\Downloaded Program Files\muniu.dll
%Windir%\rundll32.exe
%CurrentFolder%\Thumbs.bd

y para ejecutarse la próxima vez que se re-inicie el sistema agrega la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nvsetup" = "%Windir%\Downloaded Program Files\muniu.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Para poder instalar carpetas y archivos crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"Checkedvalue" = "0"

Al siguiente re-inicio del equipo borra la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\MsgCenterExe]

Luego intenta substraer los Servicios de Enrutamiento y Acceso Remoto de Microsoft (RRAS) generando la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess]
"ImagePath" = "%Windir%\Downloaded Program Files\muniu.exe"

para deshabilitar la activación de este servicio agrega la llave:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess]
"Start" = "2"

libera e inserta su componente munia.dll en todos los procesos que se encuentren en ejecución, dejándolos inutilizados.

De existir, captura y substrae la información de la cuenta del juego oriental Legend of Mir y envía esta información al URL:

http://www.hxing2.com

Finalmente infecta los archivos ejecutables que sean activados, insertando su código y dejándolos inutilizables.

PER ANTIVIRUS® versión 9.8 con registro de virus al 07 de Agosto del 2006 detecta y elimina este gusano/backdoor.