¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Brontok.a
Descubierto:14/10/2005
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:S
Tamao:42.065 Bytes
Suma de control MD5:c51a426d90af0Cdcb97c10bb4ea12696
Versin del VDF:6.32.00.84

 General Mtodo de propagacin:
   • Correo electrnico
   • Peer to Peer


Alias:
   •  Symantec: W32.Rontokbro@mm
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  TrendMicro: WORM_RONTKBR.B
   •  Grisoft: I-Worm/VB.GG
   •  VirusBuster: I-Worm.Brontok.CU
   •  Eset: Win32/Brontok.T
   •  Bitdefender: Win32.Brontok.AO@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%nombre del usuario actual%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%serie de caracteres aleatorios de cuatro dgitos%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%serie de caracteres aleatorios de cinco dgitos%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nombre del usuario actual%.com



Elimina el siguiente fichero:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nombre del usuario actual%.com



Crea los siguientes ficheros:

%HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\%direcciones de email coleccionadas% .ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

%WINDIR%\Tasks\At1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.



Intenta descargar un fichero:

La direccin es la siguiente:
   • www.geocities.com/stabro7ok/**********
Al realizar esta descripcin, dicho fichero no estaba disponible para anlisis adicionales.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%serie de caracteres aleatorios de cuatro dgitos%" = ""%HOME%\Local Settings\Application Data\bron%serie de caracteres aleatorios de cuatro dgitos%on.exe""



Aade la siguiente clave al registro:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
HKCU\software\microsoft\windows\currentversion\Policies\System
   Valor anterior:
   • "DisableCMD" = %configuracin definida por el usuario%
   • "DisableRegistryTools" = %configuracin definida por el usuario%
   Nuevo valor:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Varias opciones de configuracin en Explorer:
HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Valor anterior:
   • "NoFolderOptions" = %configuracin definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions" = dword:00000001

Varias opciones de configuracin en Explorer:
HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Valor anterior:
   • "ShowSuperHidden" =%configuracin definida por el usuario%
   • "HideFileExt" = %configuracin definida por el usuario%
   • "Hidden" = %configuracin definida por el usuario%
   Nuevo valor:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.
 Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El campo del asunto est vaco.


El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


Archivo adjunto:
El nombre del fichero adjunto est compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    Seguido por una de las siguientes extensiones falsas:
   • .doc
   • .xls

    La extensin del fichero es una de las siguientes:
   • .exe

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Prefijar los dominios de las direcciones de correo:
Para obtener la direccin IP del servidor de correo, aade los siguientes prefijos al nombre del dominio:
   • smtp.
   • mail.
   • ns1.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca todas las carpetas compartidas en la red.

   Al tener xito, crea el siguiente fichero:
   • %todas las carpetas compartidas%.exe

   Estos ficheros son copias del programa malicioso.

 Finalizacin de los procesos Listado de los procesos finalizados:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Han finalizado los procesos que contienen uno de los siguientes ttulos de ventana:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS (Denegacin de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • kaskus.com
   • tahun.com

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Irina Boldea el miércoles 30 de agosto de 2006
Descripción actualizada por Irina Boldea el miércoles 6 de septiembre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.