¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/VB.ay.2
Descubierto:05/10/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:81.920 Bytes
Suma de control MD5:902792c0116adf49f55f111e82c81db0
Versin del VDF:6.32.00.60

 General Mtodo de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Sobrescribe un fichero.
%raz de la particin del sistema%\autoexec.bat

Con el siguiente contenido:
   • pause




Crea el siguiente fichero:

%WINDIR%\Tasks\At1 Adems, el fichero es ejecutado despus de haber sido creado. Tarea planificada que ejecuta el malware en tiempos predefinidos.



Intenta descargar un fichero:

La direccin es la siguiente:
   • http://www.geocities.com/jowobot456/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales. Utilizado para esconder un proceso.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableCMD"=%configuracin definida por el usuario%
   • "DisableRegistryTools"=%configuracin definida por el usuario%
   Nuevo valor:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Varias opciones de configuracin en Explorer:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor anterior:
   • "NoFolderOptions"=%configuracin definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El campo del asunto est vaco.


El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Archivo adjunto:
El nombre del fichero adjunto es:
   • Kangen.exe

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • smtp.
   • mail.
   • ns1.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca todas las carpetas compartidas en la red.

   Al tener xito, crea el siguiente fichero:
   • %todas las carpetas compartidas%.exe

   Estos ficheros son copias del programa malicioso.

 DoS (Denegacin de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • israel.gov.il
   • playboy.com

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Irina Boldea el jueves 25 de mayo de 2006
Descripción actualizada por Irina Boldea el jueves 25 de mayo de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.