Nombre:Worm/Brontok.AH
Descubierto:08/02/2007
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:335.872 Bytes
Suma de control MD5:e5289f7c1ab17cfe7244eac16d7209ab
Versión del IVDF:6.37.01.60 - jueves 8 de febrero de 2007

 General Alias:
   •  Mcafee: W32/Rontokbro.gen
   •  Sophos: W32/Brontok-B
   •  Bitdefender: Trojan.VB.AutoRun.T
   •  Panda: W32/Brontok.JK.worm
   •  Eset: Win32/Brontok.BW


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %SYSDIR%\2D Animation.scr
   • %HOME%\Templates\A.yaresoJ.com
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %WINDIR%\INF\esoJray.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Start Menu\Programs\Startup\index.pif
   • %HOME%\Local Settings\Application Data\inetinfo.exe



Sobrescribe un fichero.
– C:\autoexec.bat



Crea el siguiente fichero:

– %HOME%\Local Settings\Application Data\Update.3.Jose.ray.bin



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.geocities.com/jowobot123/**********




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • explorer.exe


– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Local Settings\Application Data\smss.exe"


– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Local Settings\Application Data\winlogon.exe"


– Ejecuta uno de los ficheros siguientes:
   • at /delete /y


– Ejecuta uno de los ficheros siguientes:
   • at 17:08 /every:M,T,W,Th,F,S,Su "%HOME%\Templates\A.yaresoJ.com"


– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Local Settings\Application Data\services.exe"


– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Local Settings\Application Data\lsass.exe"


– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Local Settings\Application Data\inetinfo.exe"

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:



Añade las siguientes claves al registro:

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD"=dword:0x00000000
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Nuevo valor:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   Nuevo valor:
   • "ITBarLayout"=hex:b'\x11\x00\x00\x00L\x00\x00\x00\x00\x00\x00\x004\x00\x00\x00\x1b\x00\x00\x00N\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\xa0\x0f\x00\x00\x05\x00\x00\x00b\x05\x00\x00&\x00\x00\x00\x02\x00\x00\x00!\x07\x00\x00\xa0\x0f\x00\x00\x04\x00\x00\x00!\x01\x00\x00\xa0\x0f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
   Nuevo valor:
   • "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:b'\x81E\xe0\x01\xeeN\xd0\x11\xbf\xe9\x00\xaa\x00[C\x83\x10\x00\x00\x00\x00\x00\x00\x00\x01\xe02\xf4\x01\x00\x00\x00'

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Petre Galan el viernes 23 de julio de 2010
Descripción actualizada por Petre Galan el viernes 23 de julio de 2010

Volver . . . .