¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Brontok.C
Descubierto:13/12/2012
Tipo:Gusano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Medio-alto
Potencial daino:Medio
Fichero esttico:No
Versin del VDF:7.11.53.216 - jueves 13 de diciembre de 2012
Versin del IVDF:7.11.53.216 - jueves 13 de diciembre de 2012

 General Mtodos de propagacin:
   • Correo electrnico
   • Red local


Alias:
   •  Symantec: W32.Rontokbro.K@mm
   •  TrendMicro: WORM_RONTOKBRO.J
   •  Bitdefender: Win32.Brontok.C@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Descarga ficheros
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente despus de ejecutarse, inicia una aplicacin de Windows que muestra la siguiente ventana:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %WINDIR%\ShellNew\sempalong.exe
   • %WINDIR%\eksplorasi.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Templates\brengkolang.exe
   • %SYSDIR%\%nombre del usuario actual%'s setting.scr



Sobrescribe un fichero.
%raz de la particin del sistema%\autoexec.bat

Con el siguiente contenido:
   • pause




Crea el siguiente fichero:

%HOME%\Local Settings\Application Data\Kosong.Bron.Tok.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\software\microsoft\windows\currentversion\run]
   • "Bron-Spizaetus" = ""c:\winows\ShellNew\sempalong.exe""

[HKCU\software\microsoft\windows\currentversion\run]
   • "Tok-Cirrhatus" = "c:\Documents and Settings\UserLocal Settings\Application Data\smss.exe"



Aade las siguientes claves al registro:

[HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000001

[HKCU\software\microsoft\windows\currentversion\Policies\Explorer]
   • "NoFolderOptions" = dword:00000001



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell" = "Explorer.exe"
   Nuevo valor:
   • "Shell" = "Explorer.exe "c:\winows\eksplorasi.exe""

[HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Valor anterior:
   • "ShowSuperHidden" = %configuracin definida por el usuario%
   • "HideFileExt" = %configuracin definida por el usuario%
   • "Hidden" = %configuracin definida por el usuario%
   Nuevo valor:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • .HTML; .TXT; .EML; .WAB; .ASP; .PHP; .CFM; .CSV; .DOC; .XLS; .PDF;
      .PPT; .HTT


Evita las direcciones:
No enva mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • .VBS; DOMAIN; HIDDEN; DEMO; DEVELOP; FOO@; KOMPUTER; SENIOR; DARK;
      BLACK; BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT;
      SERVER; PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON;
      SERVICE; ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE;
      RESPONSE; OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS;
      MICRO; TREND; SIEMENS; FUJITSU; NOKIA; W3.; NVIDIA; APACHE; MYSQL;
      POSTGRE; SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST;
      ESAVE; ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB;
      PROLAND; ESCAN; HAURI; NOD32; SYBARI; ANTIGEN; ROBOT; ALWIL; YAHOO;
      COMPUSE; COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE;
      KDE; TRACK; INFORMA; FUJI; @MAC; SLACK; REDHA; SUSE; BUNTU; XANDROS;
      @ABC; @123; LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT;
      TELECOM; STUDIO; SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes sern eliminadas.

El acceso a los siguientes dominios est bloqueado:
   • mcafee.com
   • www.mcafee.com
   • mcafeesecurity.com
   • www.mcafeesecurity.com
   • mcafeeb2b.com
   • www.mcafeeb2b.com
   • nai.com
   • www.nai.com
   • vil.nai.com
   • grisoft.com
   • www.grisoft.com
   • kaspersky-labs.com
   • www.kaspersky-labs.com
   • kaspersky.com
   • www.kaspersky.com
   • downloads1.kaspersky-labs.com
   • downloads2.kaspersky-labs.com
   • downloads3.kaspersky-labs.com
   • downloads4.kaspersky-labs.com
   • download.mcafee.com
   • grisoft.cz
   • www.grisoft.cz
   • norton.com
   • www.norton.com
   • symantec.com
   • www.symantec.com
   • liveupdate.symantecliveupdate.com
   • liveupdate.symantec.com
   • update.symantec.com
   • securityresponse.symantec.com
   • sarc.com
   • www.sarc.com
   • vaksin.com
   • www.vaksin.com
   • norman.com
   • www.norman.com
   • trendmicro.com
   • www.trendmicro.com
   • trendmicro.co.jp
   • www.trendmicro.co.jp
   • trendmicro-europe.com
   • www.trendmicro-europe.com
   • ae.trendmicro-europe.com
   • it.trendmicro-europe.com
   • secunia.com
   • www.secunia.com
   • winantivirus.com
   • www.winantivirus.com
   • pandasoftware.com
   • www.pandasoftware.com
   • esafe.com
   • www.esafe.com
   • f-secure.com
   • www.f-secure.com
   • europe.f-secure.com
   • bhs.com
   • www.bhs.com
   • datafellows.com
   • www.datafellows.com
   • cheyenne.com
   • www.cheyenne.com
   • ontrack.com
   • www.ontrack.com
   • sands.com
   • www.sands.com
   • sophos.com
   • www.sophos.com
   • icubed.com
   • www.icubed.com
   • perantivirus.com
   • www.perantivirus.com
   • virusalert.nl
   • www.virusalert.nl
   • pagina.nl
   • www.pagina.nl
   • antivirus.pagina.nl
   • castlecops.com
   • www.castlecops.com
   • virustotal.com
   • www.virustotal.com




El fichero host modificado se ver as:


 DoS (Denegacin de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • http://kaskus.com
   • http://17tahun.com

 Informaciones diversas Tcnicas anti-debugging
Busca programas en ejecucin que incluyan una de las siguientes series de caracteres:
   • REGISTRY
   • SYSTEM CONFIGURATION
   • COMMAND PROMPT
   • .EXE
   • SHUT DOWN
   • SCRIPT HOST
   • LOG OFF WINDOWS
   • KILLBOX
   • TASKKILL
   • TASK KILL
   • HIJACK
   • BLEEPING


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Andrei Gherman el viernes 28 de octubre de 2005
Descripción actualizada por Andrei Gherman el viernes 20 de junio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.