Mitglieder.GB

Mitglieder.GB intenta descargar un archivo desde las siguientes páginas web cada cuatro horas, a través de un script PHP:

http://202.4<bloqueado>.38
http://209.1<bloqueado>8.203
http://25<bloqueado>dr.org
http://65.1<bloqueado>95.73
http://75<bloqueado>55.ru
http://80.14<bloqueado>3.41
http://abte<bloqueado>fety.com
http://ace<bloqueado>rum.pl
http://ada<bloqueado>nue.net
http://adop<bloqueado>nada.ca
http://adv<bloqueado>cgroup.com
http://agenci<bloqueado>dinternet.com
http://aha<bloqueado>afe24.com
http://aib<bloqueado>ea.org
http://aik<bloqueado>an.com
http://al<bloqueado>bg.net
http://ale<bloqueado>rligi.ch
http://alfa<bloqueado>ssic.sk
http://all<bloqueado>oni.it
http://alli<bloqueado>.com.au
http://amer<bloqueado>ergyco.com
http://ame<bloqueado>meryka.com
http://am<bloqueado>ra.com
http://anali<bloqueado>sultoria.com
http://av2<bloqueado>.comex.ru
http://cal<bloqueado>rco.com
http://cco <bloqueado>omadrid.org
http://charl <bloqueado>ckerpage.de
http://drin<bloqueado>ter.ru
http://ele<bloqueado>ltek.com
http://furd<bloqueado>oba.info
http://ke<bloqueado>er.kz
http://mij<bloqueado>gdo.net
http://ok<bloqueado>ns.co.jp
http://ph<bloqueado>g.org
http://s8<bloqueado>u.edu.tw
http://saca<bloqueado>dark.net
http://tem<bloqueado>e.nease.net
http://tk<bloqueado>mi.net
http://vir<bloqueado>3.kei.pl
http://www.8i<bloqueado>tlan.hu
http://www.a2<bloqueado>tings.com
http://www.aba<bloqueado>tis.hu
http://www.ad<bloqueado>nt-np.ru
http://www.agro<bloqueado>styka.artneo.pl
http://www.ame<bloqueado>rising.com
http://www.bar<bloqueado>rwery.pl
http://www.bm<bloqueado>depot.com
http://www.etw<bloqueado>ode.de
http://www.le<bloqueado>.co.il
http://www.rew<bloqueado>st.com
http://www.tim<bloqueado>trol.com.pl
http://www.u<bloqueado>u.pl

Una vez descargado, lo guarda con un nombre consistente en un número aleatorio, en la subcarpeta EXEFLD del directorio de Windows, y posteriormente lo ejecuta.

Mitglieder.GB crea el archivo ANTI_TROJ.EXE en el directorio de sistema de Windows. Este archivo es una copia del troyano.

Mitglieder.GB crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  anti_troj = %sysdir%\ anti_troj.exe
• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  anti_troj = %sysdir%\ anti_troj.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante estas entradas, Mitglieder.GB consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ FirstRRRun
  Crea esta entrada como marca de infección, para saber si Mitglieder.GB ha afectado previamente el ordenador.
  

Mitglieder.GB llega al ordenador enviado a través del correo electrónico en un mensaje con las siguientes características:

• Asunto: puede ser uno de los siguientes, entre otros:
  Roberte
  Sydney
  Rebecka
  Daniel
• Contenido: puede ser uno de los siguientes, entre otros:
  FOTO-2
  FOTO-4
  VIP-foto
  Foto land
• Archivo adjunto:
  Un archivo con nombre aleatorio y extensión ZIP.

Mitglieder.GB está escrito en el lenguaje de programación Visual C++ v6. Este troyano tiene un tamaño entre 9275 y 9760 bytes, y está comprimido.