Full description

Vírus	Worm/Rontok.D
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	De baixo a médio
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	41.385 Bytes
MD5 checksum:	5a1e3b99e00dd5df99cc316ecfff5fb9

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Mcafee: W32/Rontokbro.gen@MM
   • Sophos: W32/Brontok-DB
   • Bitdefender: Worm.Generic.73749
   • Panda: W32/Brontok.CX.worm
   • GData: Worm.Generic.73749

Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega ficheiros maliciosos
   • Utiliza o seu próprio motor de E-mail

Ficheiros Autocopia-se para as seguintes localizações
   • %SYSDIR%\%nome do utilizador actual%'s Setting.scr
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %WINDIR%\eksplorasi.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Templates\WowTumpeh.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nome do utilizador actual%.com
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %WINDIR%\ShellNew\bronstab.exe

Altera o conteúdo de um ficheiro.
– C:\autoexec.bat

São criados os seguintes ficheiros:

– %HOME%\Local Settings\Application Data\ListHost9.txt
– %HOME%\Local Settings\Application Data\Update.9.Bron.Tok.bin

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • explorer.exe

– Executa um dos seguintes ficheiros:
   • %HOME%\Local Settings\Application Data\smss.exe

– Executa um dos seguintes ficheiros:
   • %HOME%\Local Settings\Application Data\winlogon.exe

– Executa um dos seguintes ficheiros:
   • at /delete /y

– Executa um dos seguintes ficheiros:
   • at 17:08 /every:M,T,W,Th,F,S,Su "%HOME%\Templates\WowTumpeh.com"

– Executa um dos seguintes ficheiros:
   • %HOME%\Local Settings\Application Data\services.exe

– Executa um dos seguintes ficheiros:
   • %HOME%\Local Settings\Application Data\lsass.exe

– Executa um dos seguintes ficheiros:
   • %HOME%\Local Settings\Application Data\inetinfo.exe

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Tok-Cirrhatus"=""%HOME%\Local Settings\Application Data\smss.exe""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Bron-Spizaetus"=""%WINDIR%\ShellNew\bronstab.exe""

São adicionadas as seguintes chaves ao registo:

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD"=dword:0x00000000
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001

Altera as seguintes chaves de registo do Windows:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor recente:
   • "Shell"="Explorer.exe "%WINDIR%\eksplorasi.exe""

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   Valor recente:
   • "ITBarLayout"=hex:11,00,00,00,4C,00,00,00,00,00,00,00,34,00,00,00,1B,00,00,00,4E,00,00,00,01,00,00,00,20,07,00,00,A0,0F,00,00,05,00,00,00,62,05,00,00,26,00,00,00,02,00,00,00,21,07,00,00,A0,0F,00,00,04,00,00,00,21,01,00,00,A0,0F,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor recente:
   • "Hidden"=dword:0x00000000
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
   Valor recente:
   • "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:81,45,E0,01,EE,4E,D0,11,BF,E9,00,AA,00,5B,43,83,10,00,00,00,00,00,00,00,01,E0,32,F4,01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000001

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:

De:
O endereço do remetente é falsificado.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).

Corpo:
– Contém código HTML.

O ficheiro de atalho é uma cópia do malware.

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– O acesso ao seguinte domínio é bloqueado:
• %recolhido na Internet%

– O acesso ao seguinte domínio é redireccionado para outro destino:
• %recolhido na Internet%

Informações diversas Recursos de acesso à Internet:
• http://www.geocities.com/sembilstabok/**********
• http://www.geocities.com/sembilstabok/**********

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Petre Galan em segunda-feira, 11 de abril de 2011
Descrição atualizada por Petre Galan em segunda-feira, 11 de abril de 2011

Voltar . . . .

Precisa consertar seu PC?

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas

Produtos em destaque

Mais produtos

Produtos mais populares

Todos os produtos

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas