Magania.APQB

Gusano que se propaga a las unidades de disco físicas y extraíbles del sistema comprometido.

Difusión: Baja Fecha de Alta:09-06-2009
Última Actualización:09-06-2009

Daño: Medio

Dispersibilidad: Medio

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Alias:TrojanGameThief.Magania.apqb (Quick Heal)


Método de Infección/Efectos


Magania.APQB copia los siguientes ficheros en el sistema comprometido cuando se ejecuta:

* %System%\ddr.exe
* %System%\amvo.exe
* %System%\urretnd.exe
* %System%\afmain0.dll
* %System%\olhrwef.exe
* %System%\kav320.dll
* %System%\nmdfgds0.dll
* %System%\optyhww0.dll
* %System%\nmdfgds1.dll
* %Windir%\AhnRpta.exe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
%Windir% es una variable que hace referencia al directorio de intalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP/Server 2003) o C:\Winnt (Windows NT\2000).

El código de la mayoría de ficheros ".dll" es inyectado en los procesos en ejecución.

Crea a continuación las siguientes entradas en el registro de Windows:

Código:
Clave: HKUC\Software\Microsoft\Windows\CurrentVersion\Run  
Valor: amva = %System%\amvo.exe  
Valor: cbvcs = "%System%\urretnd.exe"  
Valor: cdoosoft = "%System%\olhrwef.exe"
ntenta conectarse con los siguientes dominios web:

* [XXXX]bfrtu.com
* [XXXX]vfgtyp.com
* http://[XXXX].[XXXX].204.243

Descarga además ficheros desde las siguientes direcciones web:

* http://[XXXX].[XXXX].204.243/fm4/help.rar
* http://[XXXX].[XXXX].204.243/fm4/help.exe

Nota: Parte de las direcciones web y de los dominios han sido reemplazadas por caracteres "X".

Magania.APQB se propaga a todas las unidades de alamacenamiento físicas y extraíbles del sistema comprometido, copiando los siguientes ficheros en cada una de ellas:

* %Drive%\autorun.inf
* %Drive%\d1vmq.exe

Nota: %Drive% es una variable que hace referencia a la unidad física o extraíble en la que se crea el fichero (H:/ , S:/, etc).

El fichero "autorun.inf" contiene las siguientes líneas para garantizar la ejecución del código malicioso cada vez que la unidad es accedida:

Código:
[AutoRun]  
{caracteres aleatorios}  
open={random name}.exe  
{caracteres aleatorios}  
shell\open\Command=d1vmq.exe
Fuente: Alerta-Antivirus.es: Detalles del virus Magania.APQB

Suerte a todos