English
Deutsch
Francais
Español
Italian
Portal
Amenazas
Worm/Brontok.W.A
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Compañía
Prensa
Socios
Newsletter
Worm/Brontok.W.A - Worm
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
Worm/Brontok.W.A
Descubierto:
21/08/2006
Tipo:
Gusano
En circulación (ITW):
No
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Medio
Potencial dañino:
Medio-bajo
Fichero estático:
Sí
Tamaño:
98.304 Bytes
Suma de control MD5:
892f49387317b9cf8a70dad3595db4e3
Versión del VDF:
6.36.00.51
Versión del IVDF:
6.36.00.62
General
Método de propagación:
• Red local
Alias:
• Symantec: Hacktool.Spammer
• Kaspersky: Email-Worm.Win32.Brontok.w
• F-Secure: Email-Worm.Win32.Brontok.w
• Sophos: W32/Brontok-BO
• Grisoft: SpamTool.GW
• Bitdefender: Win32.Brontok.AM@mm
Identificado anteriormente como:
• SPR/Spam.VB.aqn
Plataformas / Sistemas operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Suelta ficheros
• Reduce las opciones de seguridad
• Modificaciones en el registro
Ficheros
Se copia a sí mismo en las siguientes ubicaciones:
•
%WINDIR%
\Kr0n1C.exe
• C:\Kr0n1C.exe
•
%SYSDIR%
\shell.exe
•
%SYSDIR%
\MrHelloween.scr
•
%SYSDIR%
\IExplorer.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
•
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SMSS.EXE
• C:\Kr0n1C\New Folder.exe
• C:\Data
%nombre del usuario actual%
.exe
• C:\Data LocalService.exe
•
%directorio actual%
\
%nombre del directorio actual%
.exe
Crea la siguiente carpeta:
• C:\Kr0n1C
Crea los siguientes ficheros:
– C:\Puisi.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• Kr0n1C
Tertatihku Meratap Perih
Insan Hidup Terasa Mati
Dan Bahagiapun Sirna Seiring Waktu
Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
Ini Semua Karena Dirimu
Yang Selalu Mengiris Hatiku
Hari Ini Aku Tetap Menanti
Hadirmu Walau Hanya Mimpi
Dan Kini Telah Kusadari
Dirimu Hanya Ingin Menyakitiku
Hadirmu Hanya Akan Binasakanku
Saat Ini Dan Sampai Alam Yang Abadi
Cyber.nu
–
%WINDIR%
\msvbvm60.dll
–
%SYSDIR%
\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini
Registro
Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Kr0n1C"="
%WINDIR%
\Kr0n1C.exe"
• "Service
%nombre del usuario actual%
"="
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
• "MSMSGS"="
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Logon
%nombre del usuario actual%
"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
• "System Monitoring"="
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE"
• "LogonLocalService"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
Modifica las siguientes claves del registro:
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Valor anterior:
• "AlternateShell"="cmd.exe"
Nuevo valor:
• "AlternateShell"="
%WINDIR%
\Kr0n1C.exe"
– [HKCR\comfile\shell\open\command]
Valor anterior:
• @="%1" %*
Nuevo valor:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\batfile\shell\open\command]
Valor anterior:
• @="%1" %*
Nuevo valor:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\piffile\shell\open\command]
Valor anterior:
• @="%1" %*
Nuevo valor:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\lnkfile\shell\open\command]
Valor anterior:
• @="%1" %*
Nuevo valor:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile\shell\open\command]
Valor anterior:
• @="%1" %*
Nuevo valor:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile]
Valor anterior:
• @="Application"
Nuevo valor:
• @="File Folder"
Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Valor anterior:
• "Hidden"=
%configuración definida por el usuario%
• "HideFileExt"=
%configuración definida por el usuario%
• "ShowSuperHidden"=
%configuración definida por el usuario%
Nuevo valor:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000
– [HKCU\Control Panel\Desktop]
Valor anterior:
• "SCRNSAVE.EXE"=
%configuración definida por el usuario%
• "ScreenSaverIsSecure"=
%configuración definida por el usuario%
Nuevo valor:
• "SCRNSAVE.EXE"="
%SYSDIR%
\MRHELL~1.SCR"
• "ScreenSaverIsSecure"="0"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor anterior:
• "Shell"="Explorer.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe"
Nuevo valor:
• "Shell"="Explorer.exe "
%SYSDIR%
\IExplorer.exe""
• "Userinit"="
%SYSDIR%
\userinit.exe,
%SYSDIR%
\IExplorer.exe"
Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Valor anterior:
• "NoFolderOptions"=
%configuración definida por el usuario%
Nuevo valor:
• "NoFolderOptions"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
Valor anterior:
• "Auto"="1"
• "Debugger"="drwtsn32 -p %ld -e %ld -g"
Nuevo valor:
• "Auto"="1"
• "Debugger"="
%SYSDIR%
\Shell.exe"
Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Valor anterior:
• "DisableCMD"=
%configuración definida por el usuario%
• "DisableTaskMgr"=
%configuración definida por el usuario%
• "DisableRegistryTools"=
%configuración definida por el usuario%
Nuevo valor:
• "DisableCMD"=dword:00000001
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Valor anterior:
• "DisableConfig"=
%configuración definida por el usuario%
• "DisableSR"=
%configuración definida por el usuario%
Nuevo valor:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
Nuevo valor:
• "LimitSystemRestoreCheckpointing"=dword:00000001
• "DisableMSI"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Nuevo valor:
• "FullPath"=dword:00000001
Finalización de los procesos
Processes containing the following window title (es)
• TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
RegEdit; Registry Editor; Folder Options; Local Settings
Datos del fichero
Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Adriana Popa el Tue, 19 Sep 2006 13:53 (GMT+1)
Descripción actualizada por Adriana Popa el Fri, 22 Sep 2006 12:52 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« volver
Imprimir esta página
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Mytob.CR
Worm/Netsky.D.Dam
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
© 2008 Avira GmbH
Copyright
Protección de datos
Mapa web
Feedback
Pie de imprenta
FAQ
Contacto
Amenazas Worm/Brontok.W.A
Imprimir esta página
