• Domingo 22 de Diciembre de 2024, 19:05

Autor Tema:  Brontok  (Leído 2077 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Brontok
« en: Jueves 9 de Noviembre de 2006, 14:53 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   
Fecha de Alta: 09-11-2006
Última Actualización:09-11-2006
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm.W32/Brontok.CF    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 81920
Alias:WORM_BRONTOK.CF (Trend Micro)
Detalles

Instalación

Cuando se ejecuta, se copia a si mismo como:

    * %User Profile%\Local Settings\Application Data\csrss.exe
    * %User Profile%\Local Settings\Application Data\inetinfo.exe
    * %User Profile%\Local Settings\Application Data\lsass.exe
    * %User Profile%\Local Settings\Application Data\services.exe
    * %User Profile%\Local Settings\Application Data\smss.exe
    * %User Profile%\Local Settings\Application Data\winlogon.exe
    * %User Profile%\Start Menu\Programs\Startup\Empty.pif
    * %User Profile%\Templates\bararontok.com
    * %Windows%\ShellNew\ElnorB.exe
    * %System%\{User Name}'s Setting.scr

Nota: %System% representa la carpeta del sistema de Windows que normalmente suele ser:
C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT and 2000, o C:\Windows\System32 en Windows XP y Server 2003.
%User Profile% representa la carpeta de usuario de Windows que normalmente suele ser:
C:\Documents and Settings\{nombre de usuario}. %Windows% representa la carpeta de Windowsque normalmente suele ser:
C:\Windows o C:\WINNT.

Como parte de su instalación, también crea las siguientes carpetas:

    * %User Profile%\Local Settings\Application Data\Bron.tok-XX-XX
    * %User Profile%\Local Settings\Application Data\Ok-SendMail-Bron-tok

Nota: XX-XX representa la fecha de la primera ejecución del gusano.
Ejemplo:BRON.TOK-12-10, representa el 10 de Diciembre.

Crea las siguientes entradas de registro para asegurar su propia ejecución en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\ShellNew\ElnorB.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus = "%User Profile%\Local Settings\Application Data\smss.exe"

Añade la siguiente entrada en el registro indicado:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD = "0"

Nota: La entrada mencionada no existe de forma habitual en las instalaciones por defecto. EN todo caso, el valor de la variable debe ser = 1.

Desactiva el editor del registro realizando el siguiente cambio en el valor indicado:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"

También desactiva las opciones de carpeta, añadiendo la siguiente entrada en el registro indicado:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
NoFolderOptions = "1"

Nota: El valor de esta entrada debe ser "0".

También realiza las siguientes modificaciones:

Para ocultar ficheros:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0"

Para ocultar los nombre de las extensiones de ficheros

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = "0"

Para ocultar ficheros con atributo de sistema.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "0"

Nota: El valor por defecto es "1"

Propagación La propagación se produce mediante el envio de mensajes con las siguientes características:

Asunto:

    * en blanco

Mensaje:

    * -- Spizaetus Cirrhatus -- 1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA 2. Stop Free Sex, Aborsi, & Prostitusi?brA( Go To HELL ) 3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar. 4. SAY NO TO DRUGS !!!

Adjunto:

    * CCAPPS.EXE
    * KANGEN.EXE
    * MYHEART.EXE
    * SYSLOVE.EXE
    * UNTUKMU.EXE
    * WINWORD.EXE

Otros detalles

El gusano intentará reiniciar el sistema, si localiza una ventana abierta con alguno de los siguientes textos en su barra de título:

    * CLEANER
    * cmd.exe
    * command prompt
    * commander
    * computer management
    * ertanto
    * group policy
    * killbox
    * killer
    * pc-media
    * PROCESS EXP
    * registry
    * REMOVER
    * scheduled task
    * SYSINTERNAL
    * system configuration
    * windows script

Nombres de Ficheros Adjuntos (virus que llegan por correo)

    * WINWORD.EXE
    * UNTUKMU.EXE
    * SYSLOVE.EXE
    * MYHEART.EXE
    * KANGEN.EXE
    * CCAPPS.EXE

Asunto del mensaje (virus que llegan por correo)

    * en blanco
El pasado son solo recuerdos, el futuro son solo sueños