El laboratorio de virus de Avira

Worm/Brontok.E.1

  • Nombre
    Worm/Brontok.E.1
  • Descubierto
    8/10/2015
  • Versión VDF
    7.11.47.198 (2012-10-26 15:42)

El término 'WORM' hace referencia a un gusano que es capaz de, por ejemplo, propagarse por Internet (enviando correos, usando redes P2P, redes IRC, etc.) por sí mismo.

  • VDF
    7.11.47.198 (2012-10-26 15:42)
  • Alias
    Avast: Win32:Brontok-CE
    AVG: I-Worm/Brontok.X
    ClamAV: Worm.Brontok.H
    Dr. Web: Win32.HLLM.Generic.440
    F-PROT: W32/Brontok.C.gen!Eldorado (generic, not disinfectable)
    Trend Micro: TROJ_SPNR.03I211
    Microsoft: Worm:Win32/Brontok.BO@mm
    G Data: Win32.Brontok.ND
    Kaspersky Lab: Email-Worm.Win32.Brontok.q
    Bitdefender: Win32.Brontok.ND
    ESET: Win32/Brontok.CH worm
  • Archivos
    Copias de sí mismo que crea:
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\smss.exe
    • %USERPROFILE%\Local Settings\Application Data\br5931on.exe
    • %USERPROFILE%\Local Settings\Application Data\services.exe
    • %USERPROFILE%\Local Settings\Application Data\lsass.exe
    • %USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\br5931on.exe
    • %USERPROFILE%\Local Settings\Application Data\services.exe
    • %USERPROFILE%\Local Settings\Application Data\lsass.exe
    • %USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %USERPROFILE%\Local Settings\Application Data\winlogon.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\br5931on.exe
    • %USERPROFILE%\Local Settings\Application Data\services.exe
    • %USERPROFILE%\Local Settings\Application Data\lsass.exe
    • %USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %USERPROFILE%\Start Menu\Programs\Startup\Empty.pif
    • %USERPROFILE%\Templates\10044-NendangBro.com
    • %SYSDIR%\%USERNAME%'s Setting.scr
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\br5931on.exe
    • %USERPROFILE%\Local Settings\Application Data\lsass.exe
    • %USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\br5931on.exe
    • %USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\br5931on.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %SYSDIR%\drivers\etc\hosts-Denied By-%USERNAME%.com
    Archivos que cambia:
    • %DISKDRIVE%\AUTOEXEC.BAT
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    Archivos que elimina:
    • %TEMPDIR%\~DFE85D.tmp
    • %TEMPDIR%\~DFD2DE.tmp
    • %SYSDIR%\drivers\etc\hosts-Denied By-%USERNAME%.com
    • %TEMPDIR%\~DF275.tmp
    Archivos que crea:
    • %TEMPDIR%\~DFE85D.tmp
    • %TEMPDIR%\~DFD2DE.tmp
    • %TEMPDIR%\~DF275.tmp
  • Registro
    Añade las siguientes entradas al registro:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\br5931on.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\br5931on.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\br5931on.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\br5931on.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\br5931on.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\br5931on.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings ("ProxyEnable": dword:00000000)
  • Solicitudes HTTP
    • www.*****eb.com/News/cmbrotlu3/IN16QGROQGRO.css
    • www.*****eb.com/News/cmbrotlu3/Host16.css

Ayude a convertir la web en un lugar más seguro enviándonos archivos sospechosos o URL sospechosas para que los analicemos.

Enviar un archivo o una URL O Ir a Avira Answers

¿Por qué enviar un archivo sospechoso?

Si ha encontrado un archivo o un sitio web sospechoso que no está en nuestra base de datos, lo analizaremos y determinaremos si es dañino. Nuestros resultados se envían a continuación a millones de usuarios con la siguiente actualización de la base de datos de virus. Si tiene Avira, también recibirá esa actualización. ¿No tiene Avira? Obténgalo en nuestra página de inicio.

¿Qué es Avira Answers?

Es nuestra comunidad, activa y próspera, formada por profesionales técnicos y expertos independientes que trabajan juntos para resolver problemas técnicos. Es el lugar perfecto para plantear su pregunta a una comunidad de usuarios en su misma situación.