¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Brontok.C
Descubierto:13/12/2012
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio-alto
Potencial dañino:Medio
Fichero estático:No
Versión del VDF:7.11.53.216 - jueves, 13 de diciembre de 2012
Versión del IVDF:7.11.53.216 - jueves, 13 de diciembre de 2012

 General Métodos de propagación:
   • Correo electrónico
   • Red local


Alias:
   •  Symantec: W32.Rontokbro.K@mm
   •  TrendMicro: WORM_RONTOKBRO.J
   •  Bitdefender: Win32.Brontok.C@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente después de ejecutarse, inicia una aplicación de Windows que muestra la siguiente ventana:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\ShellNew\sempalong.exe
   • %WINDIR%\eksplorasi.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Templates\brengkolang.exe
   • %SYSDIR%\%nombre del usuario actual%'s setting.scr



Sobrescribe un fichero.
%raíz de la partición del sistema%\autoexec.bat

Con el siguiente contenido:
   • pause




Crea el siguiente fichero:

– %HOME%\Local Settings\Application Data\Kosong.Bron.Tok.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\software\microsoft\windows\currentversion\run]
   • "Bron-Spizaetus" = ""c:\winows\ShellNew\sempalong.exe""

– [HKCU\software\microsoft\windows\currentversion\run]
   • "Tok-Cirrhatus" = "c:\Documents and Settings\UserLocal Settings\Application Data\smss.exe"



Añade las siguientes claves al registro:

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000001

– [HKCU\software\microsoft\windows\currentversion\Policies\Explorer]
   • "NoFolderOptions" = dword:00000001



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell" = "Explorer.exe"
   Nuevo valor:
   • "Shell" = "Explorer.exe "c:\winows\eksplorasi.exe""

– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Valor anterior:
   • "ShowSuperHidden" = %configuración definida por el usuario%
   • "HideFileExt" = %configuración definida por el usuario%
   • "Hidden" = %configuración definida por el usuario%
   Nuevo valor:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .HTML; .TXT; .EML; .WAB; .ASP; .PHP; .CFM; .CSV; .DOC; .XLS; .PDF;
      .PPT; .HTT


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .VBS; DOMAIN; HIDDEN; DEMO; DEVELOP; FOO@; KOMPUTER; SENIOR; DARK;
      BLACK; BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT;
      SERVER; PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON;
      SERVICE; ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE;
      RESPONSE; OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS;
      MICRO; TREND; SIEMENS; FUJITSU; NOKIA; W3.; NVIDIA; APACHE; MYSQL;
      POSTGRE; SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST;
      ESAVE; ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB;
      PROLAND; ESCAN; HAURI; NOD32; SYBARI; ANTIGEN; ROBOT; ALWIL; YAHOO;
      COMPUSE; COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE;
      KDE; TRACK; INFORMA; FUJI; @MAC; SLACK; REDHA; SUSE; BUNTU; XANDROS;
      @ABC; @123; LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT;
      TELECOM; STUDIO; SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • mcafee.com
   • www.mcafee.com
   • mcafeesecurity.com
   • www.mcafeesecurity.com
   • mcafeeb2b.com
   • www.mcafeeb2b.com
   • nai.com
   • www.nai.com
   • vil.nai.com
   • grisoft.com
   • www.grisoft.com
   • kaspersky-labs.com
   • www.kaspersky-labs.com
   • kaspersky.com
   • www.kaspersky.com
   • downloads1.kaspersky-labs.com
   • downloads2.kaspersky-labs.com
   • downloads3.kaspersky-labs.com
   • downloads4.kaspersky-labs.com
   • download.mcafee.com
   • grisoft.cz
   • www.grisoft.cz
   • norton.com
   • www.norton.com
   • symantec.com
   • www.symantec.com
   • liveupdate.symantecliveupdate.com
   • liveupdate.symantec.com
   • update.symantec.com
   • securityresponse.symantec.com
   • sarc.com
   • www.sarc.com
   • vaksin.com
   • www.vaksin.com
   • norman.com
   • www.norman.com
   • trendmicro.com
   • www.trendmicro.com
   • trendmicro.co.jp
   • www.trendmicro.co.jp
   • trendmicro-europe.com
   • www.trendmicro-europe.com
   • ae.trendmicro-europe.com
   • it.trendmicro-europe.com
   • secunia.com
   • www.secunia.com
   • winantivirus.com
   • www.winantivirus.com
   • pandasoftware.com
   • www.pandasoftware.com
   • esafe.com
   • www.esafe.com
   • f-secure.com
   • www.f-secure.com
   • europe.f-secure.com
   • bhs.com
   • www.bhs.com
   • datafellows.com
   • www.datafellows.com
   • cheyenne.com
   • www.cheyenne.com
   • ontrack.com
   • www.ontrack.com
   • sands.com
   • www.sands.com
   • sophos.com
   • www.sophos.com
   • icubed.com
   • www.icubed.com
   • perantivirus.com
   • www.perantivirus.com
   • virusalert.nl
   • www.virusalert.nl
   • pagina.nl
   • www.pagina.nl
   • antivirus.pagina.nl
   • castlecops.com
   • www.castlecops.com
   • virustotal.com
   • www.virustotal.com




El fichero host modificado se verá así:


 DoS (Denegación de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • http://kaskus.com
   • http://17tahun.com

 Informaciones diversas Técnicas anti-debugging
Busca programas en ejecución que incluyan una de las siguientes series de caracteres:
   • REGISTRY
   • SYSTEM CONFIGURATION
   • COMMAND PROMPT
   • .EXE
   • SHUT DOWN
   • SCRIPT HOST
   • LOG OFF WINDOWS
   • KILLBOX
   • TASKKILL
   • TASK KILL
   • HIJACK
   • BLEEPING


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el viernes, 28 de octubre de 2005
Descripción actualizada por Andrei Gherman el viernes, 20 de junio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.