Nombre:Worm/Rontok.C
Descubierto:12/10/2005
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:
Tamaño:81.920 Bytes
Suma de control MD5:8e794320563be58a0Bd69f10a351d5c8
Versión del VDF:6.32.00.78

 General Métodos de propagación:
   • Correo electrónico
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.D
   •  Sophos: W32/Brontok-A
   •  Grisoft: I-Worm/VB.FD
   •  VirusBuster: I-Worm.VB.DFN
   •  Eset: Win32/Brontok.A
   •  Bitdefender: Win32.Worm.Rontok.C


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\ShellNew\ElnorB.exe
   • %SYSDIR%\%nombre del usuario actual%'s Setting.scr
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Templates\bararontok.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nombre del usuario actual%.com



Elimina el siguiente fichero:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nombre del usuario actual%.com



Crea los siguientes ficheros:

– %HOME%\Local Settings\Application Data\Bron.tok-4-7\%direcciones de email coleccionadas%  .ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– C:\autoexec.bat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • pause

%WINDIR%\Tasks\At1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • www.geocities.com/sdotlobxp/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
   • www.geocities.com/sdotlobxp/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%serie de caracteres aleatorios de cuatro dígitos%" = ""%HOME%\Local Settings\Application Data\bron%serie de caracteres aleatorios de cuatro dígitos%on.exe""



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   Valor anterior:
   • "DisableCMD" = %configuración definida por el usuario%
   • "DisableRegistryTools" = %configuración definida por el usuario%
   Nuevo valor:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Varias opciones de configuración en Explorer:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Valor anterior:
   • "NoFolderOptions" = %configuración definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions" = dword:00000001

Varias opciones de configuración en Explorer:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Valor anterior:
   • "ShowSuperHidden" =%configuración definida por el usuario%
   • "HideFileExt" = %configuración definida por el usuario%
   • "Hidden" = %configuración definida por el usuario%
   Nuevo valor:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El campo del asunto está vacío.


El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah


Archivo adjunto:
El nombre del fichero adjunto es:
   • kangen.exe

El archivo adjunto es una copia del propio programa malicioso.

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:
   • smtp.
   • mail.
   • ns1.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca todas las carpetas compartidas en la red.

   Al tener éxito, crea el siguiente fichero:
   • %todas las carpetas compartidas%.exe

   Estos ficheros son copias del programa malicioso.

 Finalización de los procesos Listado de los procesos finalizados:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS (Denegación de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • israel.gov.il
   • playboy.com

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Boldea el martes 7 de noviembre de 2006
Descripción actualizada por Irina Boldea el martes 7 de noviembre de 2006

Volver . . . .