Nombre:Worm/VB.ay.2
Descubierto:05/10/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:81.920 Bytes
Suma de control MD5:902792c0116adf49f55f111e82c81db0
Versión del VDF:6.32.00.60

 General Método de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Sobrescribe un fichero.
%raíz de la partición del sistema%\autoexec.bat

Con el siguiente contenido:
   • pause




Crea el siguiente fichero:

%WINDIR%\Tasks\At1 Además, el fichero es ejecutado después de haber sido creado. Tarea planificada que ejecuta el malware en tiempos predefinidos.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocities.com/jowobot456/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales. Utilizado para esconder un proceso.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableCMD"=%configuración definida por el usuario%
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Varias opciones de configuración en Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor anterior:
   • "NoFolderOptions"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El campo del asunto está vacío.


El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Archivo adjunto:
El nombre del fichero adjunto es:
   • Kangen.exe

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • smtp.
   • mail.
   • ns1.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca todas las carpetas compartidas en la red.

   Al tener éxito, crea el siguiente fichero:
   • %todas las carpetas compartidas%.exe

   Estos ficheros son copias del programa malicioso.

 DoS (Denegación de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • israel.gov.il
   • playboy.com

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Irina Boldea el jueves 25 de mayo de 2006
Descripción actualizada por Irina Boldea el jueves 25 de mayo de 2006

Volver . . . .