Sábado 21 de Diciembre de 2024, 11:33
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Brontok
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Brontok (Leído 2075 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Brontok
«
en:
Jueves 9 de Noviembre de 2006, 14:53 »
0
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta: 09-11-2006
Última Actualización:09-11-2006
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Brontok.CF
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 81920
Alias:WORM_BRONTOK.CF (Trend Micro)
Detalles
Instalación
Cuando se ejecuta, se copia a si mismo como:
* %User Profile%\Local Settings\Application Data\csrss.exe
* %User Profile%\Local Settings\Application Data\inetinfo.exe
* %User Profile%\Local Settings\Application Data\lsass.exe
* %User Profile%\Local Settings\Application Data\services.exe
* %User Profile%\Local Settings\Application Data\smss.exe
* %User Profile%\Local Settings\Application Data\winlogon.exe
* %User Profile%\Start Menu\Programs\Startup\Empty.pif
* %User Profile%\Templates\bararontok.com
* %Windows%\ShellNew\ElnorB.exe
* %System%\{User Name}'s Setting.scr
Nota: %System% representa la carpeta del sistema de Windows que normalmente suele ser:
C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT and 2000, o C:\Windows\System32 en Windows XP y Server 2003.
%User Profile% representa la carpeta de usuario de Windows que normalmente suele ser:
C:\Documents and Settings\{nombre de usuario}. %Windows% representa la carpeta de Windowsque normalmente suele ser:
C:\Windows o C:\WINNT.
Como parte de su instalación, también crea las siguientes carpetas:
* %User Profile%\Local Settings\Application Data\Bron.tok-XX-XX
* %User Profile%\Local Settings\Application Data\Ok-SendMail-Bron-tok
Nota: XX-XX representa la fecha de la primera ejecución del gusano.
Ejemplo:BRON.TOK-12-10, representa el 10 de Diciembre.
Crea las siguientes entradas de registro para asegurar su propia ejecución en cada reinicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\ShellNew\ElnorB.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"
Añade la siguiente entrada en el registro indicado:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD = "0"
Nota: La entrada mencionada no existe de forma habitual en las instalaciones por defecto. EN todo caso, el valor de la variable debe ser = 1.
Desactiva el editor del registro realizando el siguiente cambio en el valor indicado:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
También desactiva las opciones de carpeta, añadiendo la siguiente entrada en el registro indicado:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoFolderOptions = "1"
Nota: El valor de esta entrada debe ser "0".
También realiza las siguientes modificaciones:
Para ocultar ficheros:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0"
Para ocultar los nombre de las extensiones de ficheros
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = "0"
Para ocultar ficheros con atributo de sistema.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "0"
Nota: El valor por defecto es "1"
Propagación La propagación se produce mediante el envio de mensajes con las siguientes características:
Asunto:
* en blanco
Mensaje:
* -- Spizaetus Cirrhatus -- 1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA 2. Stop Free Sex, Aborsi, & Prostitusi?brA( Go To HELL ) 3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!!
Adjunto:
* CCAPPS.EXE
* KANGEN.EXE
* MYHEART.EXE
* SYSLOVE.EXE
* UNTUKMU.EXE
* WINWORD.EXE
Otros detalles
El gusano intentará reiniciar el sistema, si localiza una ventana abierta con alguno de los siguientes textos en su barra de título:
* CLEANER
* cmd.exe
* command prompt
* commander
* computer management
* ertanto
* group policy
* killbox
* killer
* pc-media
* PROCESS EXP
* registry
* REMOVER
* scheduled task
* SYSINTERNAL
* system configuration
* windows script
Nombres de Ficheros Adjuntos (virus que llegan por correo)
* WINWORD.EXE
* UNTUKMU.EXE
* SYSLOVE.EXE
* MYHEART.EXE
* KANGEN.EXE
* CCAPPS.EXE
Asunto del mensaje (virus que llegan por correo)
* en blanco
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Virus
(Moderador:
RadicalEd
) »
Brontok