Descripción completa

Nombre:	Worm/Brontok.W.A
Descubierto:	21/08/2006
Tipo:	Gusano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	98.304 Bytes
Suma de control MD5:	892f49387317b9cf8a70dad3595db4e3
Versión del VDF:	6.36.00.51
Versión del IVDF:	6.36.00.62 - martes 26 de septiembre de 2006

General Método de propagación:
   • Red local

Alias:
   • Symantec: Hacktool.Spammer
   • Kaspersky: Email-Worm.Win32.Brontok.w
   • F-Secure: Email-Worm.Win32.Brontok.w
   • Sophos: W32/Brontok-BO
   • Grisoft: SpamTool.GW
   • Bitdefender: Win32.Brontok.AM@mm

Identificado anteriormente como:
   • SPR/Spam.VB.aqn

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\Kr0n1C.exe
   • C:\Kr0n1C.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • C:\Kr0n1C\New Folder.exe
   • C:\Data %nombre del usuario actual%.exe
   • C:\Data LocalService.exe
   • %directorio actual%\%nombre del directorio actual%.exe

Crea la siguiente carpeta:
   • C:\Kr0n1C

Crea los siguientes ficheros:

– C:\Puisi.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Kr0n1C

     Tertatihku Meratap Perih
     Insan Hidup Terasa Mati
     Dan Bahagiapun Sirna Seiring Waktu
     Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku

     Ini Semua Karena Dirimu
     Yang Selalu Mengiris Hatiku

     Hari Ini Aku Tetap Menanti
     Hadirmu Walau Hanya Mimpi

     Dan Kini Telah Kusadari
     Dirimu Hanya Ingin Menyakitiku
     Hadirmu Hanya Akan Binasakanku
     Saat Ini Dan Sampai Alam Yang Abadi


      Cyber.nu

– %WINDIR%\msvbvm60.dll
– %SYSDIR%\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Kr0n1C"="%WINDIR%\Kr0n1C.exe"
   • "Service%nombre del usuario actual%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%nombre del usuario actual%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"
   • "LogonLocalService"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"

Modifica las siguientes claves del registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Valor anterior:
   • "AlternateShell"="cmd.exe"
   Nuevo valor:
   • "AlternateShell"="%WINDIR%\Kr0n1C.exe"

– [HKCR\comfile\shell\open\command]
   Valor anterior:
   • @="%1" %*
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   Valor anterior:
   • @="%1" %*
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   Valor anterior:
   • @="%1" %*
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\lnkfile\shell\open\command]
   Valor anterior:
   • @="%1" %*
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile\shell\open\command]
   Valor anterior:
   • @="%1" %*
   Nuevo valor:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile]
   Valor anterior:
   • @="Application"
   Nuevo valor:
   • @="File Folder"

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%configuración definida por el usuario%
   • "HideFileExt"=%configuración definida por el usuario%
   • "ShowSuperHidden"=%configuración definida por el usuario%
   Nuevo valor:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   Valor anterior:
   • "SCRNSAVE.EXE"=%configuración definida por el usuario%
   • "ScreenSaverIsSecure"=%configuración definida por el usuario%
   Nuevo valor:
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"
   • "ScreenSaverIsSecure"="0"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFolderOptions"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Valor anterior:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Nuevo valor:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableCMD"=%configuración definida por el usuario%
   • "DisableTaskMgr"=%configuración definida por el usuario%
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Valor anterior:
   • "DisableConfig"=%configuración definida por el usuario%
   • "DisableSR"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Nuevo valor:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Nuevo valor:
   • "FullPath"=dword:00000001

Finalización de los procesos Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
• TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
RegEdit; Registry Editor; Folder Options; Local Settings

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Adriana Popa el martes 19 de septiembre de 2006
Descripción actualizada por Adriana Popa el viernes 22 de septiembre de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas