W32/ONLINEG.DSO

ONLINEG.DSO gusano infecta unidades de disco fijos y removibles roba información descarga archivos, etc.

W32/ONLINEG.DSO

ONLINEG.DSO es un gusano residente en memoria, reportado el 05 de Febrero del 2008 que se propaga a través de diversos servicios de Internet.

Contiene dentro de sí mismo y libera otras especies virales. Infecta todas las unidades de disco fijos y removibles.

Su componente "espía" roba información sensible del sistema, nombres de usuarios y contraseñas y la envía a una dirección cifrada, dentro de su código viral.

Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 105KB, está encriptado con rutinas propias.

Al ser activado se copia a las siguientes rutas y con los nombres:

%System%\amvo.exe (copia del gusano)
%System%\amvo0.dll (copia del gusano AUTORUN.ZU)
%System%\amvo1.dll (componente espía)
%User Profile%\Local Settings\Temp\58.dll (almacena la información extraída del sistema)
%User Profile%\Local Settings\Temp\fhf.dll (copia del gusano NSANTI.FY)

y para ejecutarse la próxima vez que se active el sistema crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"amva" = "%System%\amvo.exe"

Como parte de su rutina de instalación crea la llave:

[HKEY_CLASSES_ROOT\CLSID\MADOWN]

Para deshabilitar algunas funciones del Explorador de Windows crea las siguientes sub-llaves, con atributos de "Sistema" y "Solo-Lectura":

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced]
Hidden = "2"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Advanced]
ShowSuperHidden = "0"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\]
Folder\Hidden\SHOWALL]
CheckedValue = "0"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

Al siguiente inicio del equipo el gusano amvo.exe se auto-destruye. Su componente espia extra información del sistema, nombres de usuarios y contraseñas, las cuales envía a una dirección de correo cifrada.

Luego se copia a todas las unidades de disco fijas o removibles.

y para ejecutarse cada vez que se abra una unidad de disco se copia a:

%Unidad_de_disco%\autorun.inf

El AUTORUN.INF contiene las siguientes cadenas:

[AutoRun]
;Al4ia2kiX4w1oK5ffwaqksjs39odcIwsk3dAaiZooske
[AutoRun]
;sc4k1krJc3eK3kDi2lis10i9a5a9saKA4df40ipo04wspKKw53S4qFZo
ddi1i92il2kfdAflLSwjl23w7KrDZrqK7AUIeJre4DiL
open=h.cmd
;OaKaAK0S525aUroidr5es7ojAckldskA7k
shell\open\Command=h.cmd
;alr
shell\open\Default=1
;i9dp5kH1fmrdjwoq9l8LaSwp4Dko8D2jFw3SriiZ00sksoa201iLl
shell\explore\Command=h.cmd
;sss6DKa0qik2K3f7awl4wJdqrLCADwZJr3L34qKi2iIkp4a1Sj0iiql3D
dKa5A

El gusano intenta descargar archivos conteniendo la última versión de sí mismo de un portal ubicado en Korea:

http://www.[Censurado].com/mf2/help.exe
http://www.[Censurado].com/mf2/help.rar

Si logra descargarlos los auto-ejecuta y desestabiliza el sistema (al momento del pte, informe, los sitios de descarga se encuentran activos).

PER ANTIVIRUS® versión X4 con registro de virus al 05 de Febrero del 2008 detecta y elimina este gusano.