W32/IRCbrute

IRCbrute gusano/backdoor del IRC infecta Explorer.EXE se conecta a servidores vía TCP ejecuta ataques DoS.

W32/IRCbrute

IRCbrute es un gusano/backdoor residente en memoria, reportado el 21 de Junio del 2008, propagado por el IRC (Internet Chat Relay) u otros servicios de Internet.

Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 12,506 bytes.

Infecta la unidades de disco removibles, se conecta dos servidores en Singapur por puertos TCP, ejecuta comandos arbitrarios y ataques DoS.

Una vez ingresado a un sistema se copia a:

%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe (copia del gusano)
%SystemDrive%\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe (copia del gusano)

El gusano captura alguna función o servicio del Explorador de Windows y le inserta su código viral para afectar sus procesos.

Para evitar infectar un sistema más de una vez, crea los siguientes Mutex:

asd-6+094997_
dfsfdh546fg3243fgmj

Para ejecutarse cada vez que el Explorador de Windows es activado crea las siguientes entradas de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\
{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
"StubPath": "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\
{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
"StubPath" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
"StubPath": "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\dll32.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
"StubPath" = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe"

y genera la siguientes sub-llaves:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\
{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\
{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{88ABC5C0-4FCB-11BB-AAX5-81CX1C635612}]

copia a cada unidad de disco los archivos:

%Unidad_de_disco%\spoolsv.exe
%Unidad_de_disco%\dll32.exe

Luego crea el siguiente archivo para activar el gusano cada vez que se accede a una unidad de disco:

%Unidad_de_disco%\autorun.inf

El gusano se conecta al atacante remoto a través de los siguientes dominios:

me.cashirc.com ubicado en Singapur, por el puerto TCP 7000
124.217.248.112 ubicado en Singapur, por el puerto TCP 6667

De tener éxito en la conexión el autor podrá ejecutar acciones arbitrarias:

Ejecutar comandos arbitrarios
Actualizarse a sí mismo
Provocar ataques de saturación SYN o Denegación de Servicios (DoS)

PER ANTIVIRUS® versión X5 con registro de virus al 21 de Junio del 2008 detecta y elimina este gusano/backdoor.