WORM_PYBERTY.A

Instalación

Infiltra los archivos siguientes:

• %System Root%\MSDcache\system\system.dll - This is log file that contains all mouse and keyboard activities of the user

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Este malware infiltra los siguientes archivos no maliciosos:

• %User Temp%\_MEI{random numbers}\_ctypes.pyd
• %User Temp%\_MEI{random numbers}\_hashlib.pyd
• %User Temp%\_MEI{random numbers}\_socket.pyd
• %User Temp%\_MEI{random numbers}\_ssl.pyd
• %User Temp%\_MEI{random numbers}\_win32sysloader.pyd
• %User Temp%\_MEI{random numbers}\bz2.pyd
• %User Temp%\_MEI{random numbers}\Crypto.Cipher._AES.pyd
• %User Temp%\_MEI{random numbers}\mfc90.dll
• %User Temp%\_MEI{random numbers}\mfc90u.dll
• %User Temp%\_MEI{random numbers}\mfcm90.dll
• %User Temp%\_MEI{random numbers}\mfcm90u.dll
• %User Temp%\_MEI{random numbers}\Microsoft.VC90.CRT.manifest
• %User Temp%\_MEI{random numbers}\Microsoft.VC90.MFC.manifest
• %User Temp%\_MEI{random numbers}\msvcm90.dll
• %User Temp%\_MEI{random numbers}\msvcp90.dll
• %User Temp%\_MEI{random numbers}\msvcr90.dll
• %User Temp%\_MEI{random numbers}\pyexpat.pyd
• %User Temp%\_MEI{random numbers}\pyHook._cpyHook.pyd
• %User Temp%\_MEI{random numbers}\python27.dll
• %User Temp%\_MEI{random numbers}\pythoncom27.dll
• %User Temp%\_MEI{random numbers}\pywintypes27.dll
• %User Temp%\_MEI{random numbers}\select.pyd
• %User Temp%\_MEI{random numbers}\unicodedata.pyd
• %User Temp%\_MEI{random numbers}\win32api.pyd
• %User Temp%\_MEI{random numbers}\win32file.pyd
• %User Temp%\_MEI{random numbers}\win32pipe.pyd
• %User Temp%\_MEI{random numbers}\win32trace.pyd
• %User Temp%\_MEI{random numbers}\win32ui.pyd
• %User Temp%\_MEI{random numbers}\win32wnet.pyd
• %User Temp%\_MEI{random numbers}\eggs\pyperclip-1.5.4-py2.7.egg
• %User Temp%\_MEI{random numbers}\include\pyconfig.h
• %User Temp%\{random char}\gen_py\__init__.py
• %User Temp%\{random char}\gen_py\dicts.dat

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Crea las carpetas siguientes:

• %System Root%\MSDcache
• %System Root%\MSDcache\system
• %User Temp%\_MEI{random numbers}
• %User Temp%\_MEI{random numbers}\eggs
• %User Temp%\_MEI{random numbers}\include
• %User Temp%\{random char}
• %User Temp%\{random char}\gen_py

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
Liberty(Malware Version).exe = %System Root%\MSDcache\Liberty(Malware Version).exe

Propagación

Este malware crea la siguiente carpeta en todas las unidades físicas y extraíbles:

• {drive}:\MSDcache

Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:

• {drive}:\MSDcache\Liberty{Malware Version}.exe
• {drive}:\MSDcache\Liberty1.0.bat - batch file that executes the malware
• {drive}:\MSDcache\Liberty1.0.bat.lnk - shortcut for the batch file

Rutina de descarga

Este malware descarga una copia actualizada de sí mismo desde el/los siguiente(s) sitio(s) Web:

• http://{BLOCKED}ickupdate.ddns.net
• http://{BLOCKED}pdate.{BLOCKED}s.net
• http://{BLOCKED}pdate.{BLOCKED}s.net

Guarda los archivos que descarga con los nombres siguientes:

• %System Root%\MSDCache\Liberty{Malware Version}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Robo de información

Recopila los siguientes datos:

• Mouse click coordinates
• Keyboard key press
• Last window name clicked