¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Brontok.N.1
Descubierto:25/03/2006
Tipo:Gusano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:43.520 Bytes
Suma de control MD5:077fc28e71343d70bf08958b641be113
Versin del VDF:6.34.00.97 - sábado 25 de marzo de 2006
Versin del IVDF:6.34.00.97 - sábado 25 de marzo de 2006

 General Mtodo de propagacin:
   • Correo electrnico


Alias:
   •  Symantec: W32.Rontokbro.U@mm
   •  Kaspersky: Email-Worm.Win32.Brontok.n
   •  TrendMicro: WORM_RONTOKBR.AT
   •  Sophos: W32/Brontok-AE
   •  Bitdefender: Win32.Brontok.AF@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Bloquea el acceso a portales de seguridad
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:



 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\Local Settings\Application Data\dv%varios dgitos aleatorios%x\yesbron.com
   • %SYSDIR%\c_%varios dgitos aleatorios%k.com
   • %SYSDIR%\n%varios dgitos aleatorios%\csrss.exe
   • %SYSDIR%\n%varios dgitos aleatorios%\smss.exe
   • %SYSDIR%\n%varios dgitos aleatorios%\winlogon.exe
   • %SYSDIR%\n%varios dgitos aleatorios%\services.exe
   • %SYSDIR%\n%varios dgitos aleatorios%\sv%varios dgitos aleatorios%.exe
   • %SYSDIR%\n%varios dgitos aleatorios%\b%varios dgitos aleatorios%.exe
   • %SYSDIR%\n%varios dgitos aleatorios%\ib%varios dgitos aleatorios%.exe
   • %WINDIR%\j%varios dgitos aleatorios%.exe
   • %WINDIR%\o%varios dgitos aleatorios%.exe
   • %WINDIR%\_default%varios dgitos aleatorios%.pif
   • %HOME%\Local Settings\Application Data\jalak-%varios dgitos aleatorios%-bali.com



Crea las siguientes carpetas:
   • %SYSDIR%\n%varios dgitos aleatorios%
   • %SYSDIR%\n%varios dgitos aleatorios%\Spread.Mail.Bro
   • %SYSDIR%\n%varios dgitos aleatorios%\Spread.Sent.Bro
   • %HOME%\Local Settings\Application Data\dv%varios dgitos aleatorios%x



Crea los siguientes ficheros:

– Ficheros que contienen direcciones de correo recolectadas:
   • %SYSDIR%\n%varios dgitos aleatorios%\Spread.Mail.Bro\%direcciones de email coleccionadas% .ini
   • %SYSDIR%\n%varios dgitos aleatorios%\Spread.Sent.Bro\%direcciones de email coleccionadas% .ini

– Ficheros temporales, que pueden ser eliminados despus:
   • %SYSDIR%\n%varios dgitos aleatorios%\domlist.txt
   • %SYSDIR%\n%varios dgitos aleatorios%\getdomlist.txt

%raz de la particin del sistema%\Baca Bro !!!.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • BRONTOK.C[22]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     Romdil = Tukang Jiplak = Nothing !!!
     Nobron & Romdil -->> Kicked by The Amazing Brontok
     [ By JowoBot ]

%SYSDIR%\n%varios dgitos aleatorios%\c.bron.tok.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.C
     By:JowoBot

%WINDIR%\tasks\at1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.
%WINDIR%\tasks\at2.job Tarea planificada que ejecuta el malware en tiempos predefinidos.



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://www.net4free.org/Arts/bddwyrk/**********
El fichero est guardado en el disco duro en: %SYSDIR%\n%varios dgitos aleatorios%\sv%varios dgitos aleatorios%r.exeupi22xbm.ini

La direccin es la siguiente:
   • http://debuging.com/WS1/cgi/**********
El fichero est guardado en el disco duro en: %SYSDIR%\n%varios dgitos aleatorios%\svt%nmero%sj.tok

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "A%varios dgitos aleatorios%r"="%WINDIR%\j%varios dgitos aleatorios%.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus-
   • Bron-Spizaetus-4713XPPM

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus
   • Tok-Cirrhatus-%varios dgitos aleatorios%adrc
   • Tok-Cirrhatus-%varios dgitos aleatorios%

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-%varios dgitos aleatorios%adrc
   • brl



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • "y%varios dgitos aleatorios%adr"="%user settings%\Application Data\dv%varios dgitos aleatorios%x\yesbron.com"

[HKCU\Software\Brontok]
   • "Version"="Brontok.C[22]"
   • "Developer"="JowoBot
   • VM Community"
   • "Released"="09-03-06"
   • "Message"=Look @ "C:\Baca Bro !!!.txt"
   • "Dedicated 2"="Spizaetus Cirrhatus"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%configuracin definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

Varias opciones de configuracin en Explorer:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%configuracin definida por el usuario%
   • "HideFileExt"=%configuracin definida por el usuario%
   • "ShowSuperHidden"=%configuracin definida por el usuario%
   Nuevo valor:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Nuevo valor:
   • "AlternateShell"="c_%varios dgitos aleatorios%k.com"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
     "Userinit"="%SYSDIR%\userinit.exe"
   Nuevo valor:
   • "Shell"=Explorer.exe "%WINDIR%\o%varios dgitos aleatorios%.exe"
     "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\j%varios dgitos aleatorios%.exe"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
El remitente del mensaje de correo es uno de los siguientes:
   • jennifer_sh@%el dominio del destinatario desde la direccin de correo%
   • angelina_ph@%el dominio del destinatario desde la direccin de correo%


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
– Direcciones generadas


Asunto:
Uno de los siguientes:
   • My Best Photo
   • Fotoku yg Paling Cantik



El cuerpo del mensaje:
El cuerpo del mensaje es uno de los siguientes:

   • I want to share my photo with you.
     Wishing you all the best.
     Regards,

   • Aku lg iseng aja pengen kirim foto ke kamu.
     Jangan lupain aku ya !.
     Thanks,


Archivo adjunto:
Este fichero no incluye una copia suya, sino otro programa viral. Puede encontrar una descripcin aqu: TR/Dldr.Small.coc.1

El nombre del fichero adjunto es:
   • Picture.zip



El mensaje de correo se ve as:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • PPT; XLS; CFM; PHP; ASP; WAB; EML; CSV; HTML; HTM; DOC; TXT


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST; NETWORK; SOURCE;
      PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT; PANDA; NORMAN;
      NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT; AVG; LINUX;
      CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE; UPDATE;
      DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID; .AC.ID;
      .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO; TELKOM; PLASA
      


Servidor MX:
Puede conectarse a uno de los servidores MX:
   • ns1.
   • mail.
   • smtp.

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes sern eliminadas.

El acceso a los siguientes dominios est bloqueado:
   • mcafee.com; www.mcafee.com; mcafee.net; www.mcafee.net; mcafee.org;
      www.mcafee.org; mcafeesecurity.com; www.mcafeesecurity.com;
      mcafeesecurity.net; www.mcafeesecurity.net; mcafeesecurity.org;
      www.mcafeesecurity.org; mcafeeb2b.com; www.mcafeeb2b.com;
      mcafeeb2b.net; www.mcafeeb2b.net; mcafeeb2b.org; www.mcafeeb2b.org;
      nai.com; www.nai.com; nai.net; www.nai.net; nai.org; www.nai.org;
      vil.nai.com; www.vil.nai.com; vil.nai.net; www.vil.nai.net;
      vil.nai.org; www.vil.nai.org; grisoft.com; www.grisoft.com;
      grisoft.net; www.grisoft.net; grisoft.org; www.grisoft.org;
      kaspersky-labs.com; www.kaspersky-labs.com; kaspersky-labs.net;
      www.kaspersky-labs.net; kaspersky-labs.org; www.kaspersky-labs.org;
      kaspersky.com; www.kaspersky.com; kaspersky.net; www.kaspersky.net;
      kaspersky.org; www.kaspersky.org; downloads1.kaspersky-labs.com;
      www.downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.net;
      www.downloads1.kaspersky-labs.net; downloads1.kaspersky-labs.org;
      www.downloads1.kaspersky-labs.org; downloads2.kaspersky-labs.com;
      www.downloads2.kaspersky-labs.com; downloads2.kaspersky-labs.net;
      www.downloads2.kaspersky-labs.net; downloads2.kaspersky-labs.org;
      www.downloads2.kaspersky-labs.org; downloads3.kaspersky-labs.com;
      www.downloads3.kaspersky-labs.com; downloads3.kaspersky-labs.net;
      www.downloads3.kaspersky-labs.net; downloads3.kaspersky-labs.org;
      www.downloads3.kaspersky-labs.org; downloads4.kaspersky-labs.com;
      www.downloads4.kaspersky-labs.com; downloads4.kaspersky-labs.net;
      www.downloads4.kaspersky-labs.net; downloads4.kaspersky-labs.org;
      www.downloads4.kaspersky-labs.org; download.mcafee.com;
      www.download.mcafee.com; download.mcafee.net; www.download.mcafee.net;
      download.mcafee.org; www.download.mcafee.org; norton.com;
      www.norton.com; norton.net; www.norton.net; norton.org;
      www.norton.org; symantec.com; www.symantec.com; symantec.net;
      www.symantec.net; symantec.org; www.symantec.org;
      liveupdate.symantecliveupdate.com;
      www.liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.net;
      www.liveupdate.symantecliveupdate.net;
      liveupdate.symantecliveupdate.org;
      www.liveupdate.symantecliveupdate.org; liveupdate.symantec.com;
      www.liveupdate.symantec.com; liveupdate.symantec.net;
      www.liveupdate.symantec.net; liveupdate.symantec.org;
      www.liveupdate.symantec.org; update.symantec.com;
      www.update.symantec.com; update.symantec.net; www.update.symantec.net;
      update.symantec.org; www.update.symantec.org;
      securityresponse.symantec.com; www.securityresponse.symantec.com;
      securityresponse.symantec.net; www.securityresponse.symantec.net;
      securityresponse.symantec.org; www.securityresponse.symantec.org;
      sarc.com; www.sarc.com; sarc.net; www.sarc.net; sarc.org;
      www.sarc.org; vaksin.com; www.vaksin.com; vaksin.net; www.vaksin.net;
      vaksin.org; www.vaksin.org; forum.vaksin.com; www.forum.vaksin.com;
      forum.vaksin.net; www.forum.vaksin.net; forum.vaksin.org;
      www.forum.vaksin.org; norman.com; www.norman.com; norman.net;
      www.norman.net; norman.org; www.norman.org; trendmicro.com;
      www.trendmicro.com; trendmicro.net; www.trendmicro.net;
      trendmicro.org; www.trendmicro.org; trendmicro-europe.com;
      www.trendmicro-europe.com; trendmicro-europe.net;
      www.trendmicro-europe.net; trendmicro-europe.org;
      www.trendmicro-europe.org; ae.trendmicro-europe.com;
      www.ae.trendmicro-europe.com; ae.trendmicro-europe.net;
      www.ae.trendmicro-europe.net; ae.trendmicro-europe.org;
      www.ae.trendmicro-europe.org; it.trendmicro-europe.com;
      www.it.trendmicro-europe.com; it.trendmicro-europe.net;
      www.it.trendmicro-europe.net; it.trendmicro-europe.org;
      www.it.trendmicro-europe.org; secunia.com; www.secunia.com;
      secunia.net; www.secunia.net; secunia.org; www.secunia.org;
      winantivirus.com; www.winantivirus.com; winantivirus.net;
      www.winantivirus.net; winantivirus.org; www.winantivirus.org;
      pandasoftware.com; www.pandasoftware.com; pandasoftware.net;
      www.pandasoftware.net; pandasoftware.org; www.pandasoftware.org;
      esafe.com; www.esafe.com; esafe.net; www.esafe.net; esafe.org;
      www.esafe.org; f-secure.com; www.f-secure.com; f-secure.net;
      www.f-secure.net; f-secure.org; www.f-secure.org; europe.f-secure.com;
      www.europe.f-secure.com; europe.f-secure.net; www.europe.f-secure.net;
      europe.f-secure.org; www.europe.f-secure.org; bhs.com; www.bhs.com;
      bhs.net; www.bhs.net; bhs.org; www.bhs.org; datafellows.com;
      www.datafellows.com; datafellows.net; www.datafellows.net;
      datafellows.org; www.datafellows.org; cheyenne.com; www.cheyenne.com;
      cheyenne.net; www.cheyenne.net; cheyenne.org; www.cheyenne.org;
      ontrack.com; www.ontrack.com; ontrack.net; www.ontrack.net;
      ontrack.org; www.ontrack.org; sands.com; www.sands.com; sands.net;
      www.sands.net; sands.org; www.sands.org; sophos.com; www.sophos.com;
      sophos.net; www.sophos.net; sophos.org; www.sophos.org; icubed.com;
      www.icubed.com; icubed.net; www.icubed.net; icubed.org;
      www.icubed.org; perantivirus.com; www.perantivirus.com;
      perantivirus.net; www.perantivirus.net; perantivirus.org;
      www.perantivirus.org; castlecops.com; www.castlecops.com;
      castlecops.net; www.castlecops.net; castlecops.org;
      www.castlecops.org; virustotal.com; www.virustotal.com;
      virustotal.net; www.virustotal.net; virustotal.org;
      www.virustotal.org; free-av.com; www.free-av.com; free-av.net;
      www.free-av.net; free-av.org; www.free-av.org; antivirus.com;
      www.antivirus.com; antivirus.net; www.antivirus.net; antivirus.org;
      www.antivirus.org; anti-virus.com; www.anti-virus.com; anti-virus.net;
      www.anti-virus.net; anti-virus.org; www.anti-virus.org; ca.com;
      www.ca.com; ca.net; www.ca.net; ca.org; www.ca.org; fajarweb.com;
      www.fajarweb.com; fajarweb.net; www.fajarweb.net; fajarweb.org;
      www.fajarweb.org; jasakom.com; www.jasakom.com; jasakom.net;
      www.jasakom.net; jasakom.org; www.jasakom.org; backup.grisoft.com;
      www.backup.grisoft.com; backup.grisoft.net; www.backup.grisoft.net;
      backup.grisoft.org; www.backup.grisoft.org; infokomputer.com;
      www.infokomputer.com; infokomputer.net; www.infokomputer.net;
      infokomputer.org; www.infokomputer.org; playboy.com; www.playboy.com;
      playboy.net; www.playboy.net; playboy.org; www.playboy.org;
      sex-mission.com; www.sex-mission.com; sex-mission.net;
      www.sex-mission.net; sex-mission.org; www.sex-mission.org;
      pornstargals.com; www.pornstargals.com; pornstargals.net;
      www.pornstargals.net; pornstargals.org; www.pornstargals.org;
      kaskus.com; www.kaskus.com; kaskus.net; www.kaskus.net; kaskus.org;
      www.kaskus.org; 17tahun.com; www.17tahun.com; 17tahun.net;
      www.17tahun.net; 17tahun.org; www.17tahun.org; padinet.com;
      www.padinet.com; padinet.net; www.padinet.net; padinet.org;
      www.padinet.org; jeruk.padinet.com; www.jeruk.padinet.com;
      jeruk.padinet.net; www.jeruk.padinet.net; jeruk.padinet.org;
      www.jeruk.padinet.org; compactbyte.com; www.compactbyte.com;
      compactbyte.net; www.compactbyte.net; compactbyte.org;
      www.compactbyte.org; blog.compactbyte.com; www.blog.compactbyte.com;
      blog.compactbyte.net; www.blog.compactbyte.net; blog.compactbyte.org;
      www.blog.compactbyte.org; blogs.compactbyte.com;
      www.blogs.compactbyte.com; blogs.compactbyte.net;
      www.blogs.compactbyte.net; blogs.compactbyte.org;
      www.blogs.compactbyte.org




El fichero host modificado se ver as:


 Finalizacin de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • ahnlab; peid; nod32; hijack; sysinter; aladdin; panda; trend; cillin;
      mcaf; avast; bitdef; machine; movzx; kill; washer; remove; wscript;
      diary; untukmu; kangen; sstray; Alicia; Mariana; Dian; foto; zlh;
      Anti; mspatch; siti; virus; services.com; ctfmon; nopdb; opscan;
      vptray; update; lexplorer; iexplorer; nipsvc; njeeves; cclaw; nvcoas;
      aswupdsv; ashmaisv; systray; riyani; xpshare; syslove; tskmgr; ccapps;
      ash; avg; poproxy; mcv

Han finalizado los procesos que contienen uno de los siguientes ttulos de ventana:
   • peid; task view; telanjang; bugil; cewe; naked; porn; sex; alwil;
      wintask; folder option; b.e; worm; trojan; avira; windows script;
      commander; pc-media; killer; ertanto; anti; CLEANER; REMOVER; PROCESS
      EXP; SYSINTERNAL; killbox; scheduled task; computer management;
      cmd.exe; group policy; system configuration; command prompt; registry;
      baca bro !!!; task manager; google.com; up22ngk
      


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Adriana Popa el martes 25 de julio de 2006
Descripción actualizada por Andrei Gherman el miércoles 26 de julio de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.