W32/ONLINEG.DJO

ONLINEG.DJO gusano infecta unidades de disco fijos y removibles roba información descarga archivos, etc.

W32/ONLINEG.DJO

ONLINEG.DJO es un gusano residente en memoria, reportado el 31 de Enero del 2008 que se propaga a través de diversos servicios de Internet.

Infecta todas las unidades de disco fijos y removibles.

Sus componentes "espía"y "keylogger" capturan teclas digitadas, roban información sensible del sistema, nombres de usuarios y contraseñas de diversos juegos de PC.

Su componente .DLL se inserta en el Explorardor de Windows y deshabilita varias de sus funciones.

Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 103KB, no está encriptado.

Al ser activado se copia a las siguientes rutas y con los nombres:

%System%\amvo.exe (copia del gusano)
%System%\amvo0.dll (componente keylogger)
%Temp%\zhklagpv.dll (componente espía)

y para ejecutarse la próxima vez que se active el sistema crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"amva" = "%System%\amvo.exe"

Para deshabilitar algunas funciones del Explorardor de Windows crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = "1"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = "0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Folder\Hidden\SHOWALL]
CheckedValue = "0"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Al siguiente inicio del equipo el componente .DLL se inserta como un hilo dentro de procesos en ejecución, principalemente en el EXPLORER.EXE, permaneciendo en memoria para impedir que termine la mayoría de sus funciones.

Luego se copia a todas las unidades de disco fijas o removibles.

y para ejecutarse cada vez que se abra una unidad de disco se copia a:

%Unidad_de_disco%\autorun.inf

El AUTORUN.INF contiene las siguientes cadenas:

[AutoRun]
;[Caracteres_aleatorios]
open=xn1i9x.com
;[Caracteres_aleatorios]
shell\open\Command=xn1i9x.com
;[Caracteres_aleatorios]
shell\open\Default=1
;[Caracteres_aleatorios]
shell\explore\Command=xn1i9x.com
;[Caracteres_aleatorios]

Sus componentes espía y keylogger roban información sensible del sistema y nombres de usuarios y contraseñas relacionadas a los juegos:

Lineage: Lands of Aden
Maple Story
PlayOnline

También monitorea los siguientes procesos, en caso existir en el sistema infectado, para robar los nombres de usuarios y contraseñas relacionadas a los juegos:

pol.exe
maplestory.exe
Download Routine

El gusano intenta descargar archivos conteniendo la última versión de sí mismo de un portal ubicado en Seul, Korea:

http://www.7890.com/mf2/help.rar
http://www.7890.com/mf2/help.exe

Si logra descargarlos los auto-ejecuta y desestabiliza el sistema y agrega la siguiente llave para registrar su última versión:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\MADOWN]
urlinfo = "maver8m2"

PER ANTIVIRUS® versiones 10.3 y X4 con registro de virus al 31 de Enero del 2008 detectan y eliminan este gusano.