WORM_ONLINEG.M

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Este malware no tiene ninguna rutina de puerta trasera.

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados. No obstante, de este modo no se podrá acceder a los sitios mencionados.

Roba información confidencial como nombres de usuario y contraseñas, particularmente para juegos concretos. La información sustraída la pueden usar los ciberdelincuentes con ánimo de lucro, quienes pueden acceder a la información.

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Infiltra y ejecuta los archivos siguientes:

• %System%\ahnxsds0.dll
• %System%\ahnfgss0.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\ahnsbsb.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega los procesos siguientes:

• iexplore.exe

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

• explorer.exe
• created iexplore.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
ahnsoft = "%System%\ahnsbsb.exe"

Otras modificaciones del sistema

Modifica los archivos siguientes:

• %System%\drivers\cdaudio.sys

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\CLSID\MADOWN

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\MADOWN

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Security

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
ImagePath = "\??\%System%\drivers\cdaudio.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys
DisplayName = "AVPsys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum
Count = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum
NextInstance = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Enum
INITSTARTFAILED = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\AVPsys\Security
Security = "{hex value}"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(Note: The default value data of the said registry entry is "1".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(Note: The default value data of the said registry entry is "1".)

Propagación

Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:

• {drive letter}:\a63grox.com

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de puerta trasera

Este malware no tiene ninguna rutina de puerta trasera.

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://{BLOCKED}fd.com/xhg2/ll1.rar

Guarda los archivos que descarga con los nombres siguientes:

• %User Temp%\ll1.rar

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Robo de información

Roba información confidencial como nombres de usuario y contraseñas, particularmente para juegos concretos.

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}8.com/hhz/hc3/lin.asp
• http://{BLOCKED}8.com/hhz/hts/lin.asp
• http://{BLOCKED}8.com/xhg/dhh/lin.asp
• http://{BLOCKED}8.com/xhg/hrk/lin.asp

Otros detalles

Cierra ventanas de aplicaciones que contienen las cadenas siguientes en la barra de título:

• AVP.Product_Notification
• AVP.AlertDialog
• AVP.Product_Notification
• AVP.AlertDialog