Worm.Win32.IRCBOT.SDY

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Se conecta a servidores de IRC. However, as of this writing, the said sites are inaccessible.

Recopila determinada información del equipo afectado.

Se conecta a determinados sitios Web para enviar y recibir información.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• If OS is Windows XP or older:
  • %ProgramFiles%\CommonFiles\AdobeARM.exe → File attribute is set to system, hidden, readonly
• If OS is Windows 7 or newer:
  • %Application Data%\AdobeARM.exe → File attribute is set to system, hidden, readonly
• {Removable or Remote Drive}\RECYCLER\{SID}\Autorunme.scr → File attribute is set to system, hidden, readonly

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Infiltra los archivos siguientes:

• {Removable or Remote Drive}\RECYCLER\{SID}\Desktop.ini → File attribute is set to system, hidden, read only
• {Removable or Remote Drive}\autorun.inf → File attribute is set to system, hidden, read only

Agrega los procesos siguientes:

• If OS is Windows XP or older:
  • %ProgramFiles%\CommonFiles\AdobeARM.exe {Malware PID} {Malware File Path}\{Malware File Name}
• If OS is Windows 7 or newer:
  • %Application Data%\AdobeARM.exe {Malware PID} {Malware File Path}\{Malware File Name}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

• {Removable or Remote Drive}\RECYCLER
• {Removable or Remote Drive}\RECYCLER\{SID}

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• routerpccw
• pccwstormlite
• pccwlite

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run (If OS is Windows XP or older)
Adobe ARMS = %ProgramFiles%\CommonFiles\AdobeARM.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run (If OS is Windows 7 or newer)
Adobe ARMS = %Application Data%\AdobeARM.exe

Otras modificaciones del sistema

Modifica los archivos siguientes:

• If OS is Windows XP or older:
  • %System%\drivers\tcpip.sys

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run (If OS is Windows XP or older)
Patches = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List (If OS is Windows XP or older)
%Program Files%\Common Files\AdobeARM.exe = %Program Files%\Common Files\AdobeARM.exe:*:Enabled:Adobe ARMS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters (If OS is Windows XP or older)
TcpNumConnections = 0x00FFFFFE

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Dnscache\Parameters (If OS is Windows XP or older)
MaxCacheTtl = 0x00000708

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer (If OS is Windows XP or older)
NoFolderOptions = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer (If OS is Windows XP or older)
NoRun = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer (If OS is Windows XP or older)
NoFolderOptions = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
Explorer (If OS is Windows XP or older)
NoRun = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced (If OS is Windows XP or older)
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced (If OS is Windows XP or older)
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced (If OS is Windows XP or older)
SuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

Propagación

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de puerta trasera

Se conecta a alguno de los siguientes servidores de IRC:

• tcp://{BLOCKED}opto.org:7562

However, as of this writing, the said sites are inaccessible.

Robo de información

Recopila la siguiente información del equipo afectado:

• OS version
• Computer name
• Locale Info

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• tcp://{BLOCKED}.0:71

Hace lo siguiente:

• It terminates itself if the following checks if it is running in a sandbox or virtual environment is successful:
  • Loads sbiedll.dll.
  • Checks if username is CurrentUser.
  • Execute an instruction that will raise an exception in virtual machines.
• It terminates itself if it detects that it is being debugged.
• It injects code into explorer.exe that will start the malware if it is terminated.
• Based on code analysis, it has the capability to download files from its server and terminate processes.