|
Rontokbro.AA es un destructivo gusano reportado el 22 de Diciembre del 2005 de propagación masiva a través de mensajes de Correo con un Asunto en blanco, Contenidos y archivos anexados aleatorios. |
|
|
|
Rontokbro.AA es un destructivo gusano reportado el 22 de Diciembre del 2005 de propagación masiva a través de mensajes de Correo con un Asunto en blanco, Contenidos y archivos anexados aleatorios. |
El archivo anexado muestra el icono de una carpeta, con el propósito de engañar al receptor.
En Windows 98/Me altera el AUTOEXEC.BAT para ocasionar una pausa al inicio del sistema cada vez que éste se inicie.
Libera varias copias de sí mismo en diversas carpetas, deshabilita la opción de Carpetas en el menú desplegable de Windows Explorer y el Panel de Control, cuya configuración no puede ser cambiada e impide mostrar las rutas de archivos y Barra de Títulos.
Re-inicia el sistema cada vez que encuentra una ventana con la cadena .EXE y REGISTRY en la barra de títulos y ejecuta el archivo infectado cada vez que el usuario abre el Editor de Registros.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 42 KB y está comprimido con el utilitario MEW:
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows o a las contenidas en archivos con las extensiones:
evitando enviarse a las direcciones que tengan las cadenas:
Los mensajes tienen las siguientes características:
Remitente, los extraídos del sistema.Asunto: en blanco
Contenido: uno de los siguientes:
Anexado: cualquiera de estos archivos:
Al ser ejecutado en 2000/XP y Server 2003 se copia a las siguientes rutas con los nombres:
en Windows 98 y NT libera las siguiente copias de sí mismo:
en Windows Me se copia a:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.
%Root% es el directorio raíz C:\
crea una carpeta de nombre Bron.tok-XX-XX, dependiendo de los sistemas operativos, en las rutas:
Los caracteres XX corresponden al mes y el día en que el gusano será ejecutado.
en Windows 98/Me sobre-escribe el AUTOEXEC.BAT ubicado en el directorio raíz de C:\ con la siguiente cadena:
pause
Para ejecutarse la próxima vez que se re-inicie el sistema modificas las llaves:
en Windows 2000/XP y Server 2003:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windows%\Application Data\smss.exe""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""%Windows%\ShellNew\sempalong.exe""
en Windows NT:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe\BerasJatah.exe""
en Windows Me:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windows%\Application Data\smss.exe""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""%Windows%\ShellNew\sempalong.exe""
en Windows 98:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""\Media\smss.exe""
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""\ShellNew\sempalong.exe""
para remover el uso de la opción de menu drop-down en Windows Explorer y el Panel de Control modifica la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:00000001"
el usuario no podrá cambiar esta configuración así como mostrar carpetas ocultas o rutas en la barra de títulos.
crea la siguiente llave de registro para intentar deshabilitar el promptus del COMMAND:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:00000000"
para deshabilitar el Editor de Registro crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"
para ocultar archivos con el atributo Hidden crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword:00000000"
para ocultar los nombres de extensiones de archivos:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "dword:00000001"
para ocultar archivos con el atributo System crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:00000000"
Al siguiente inicio activa su rutina de envío masivo de mensajes de correo, altera el proceso del AUTOEXEC.BAT, deshabilita el Editor de Registro y la Opción de menú desplegable en Windows Explorer y el Panel de Control.
En sistemas con Windows 2000/XP y Server 2003 el gusano crea una tarea generada con el Microsoft Job Scheduler, denominada At1.job para ejecutar el archivo infectado todos los días a las 05:08 PM.
Re-inicia el sistema cada vez que encuentre una ventana con la cadena .EXE y REGISTRY en la barra de títulos y procede a ejecutar las acciones nocivas antes descritas.
La Barra de Títulos es el nombre de un archivo o aplicación en MS Windows que se muestra en la parte superior de una ventana, caja de diálogo, graficador, etc.
PER ANTIVIRUS® versión y 9.5 con registro de virus al 22 de Diciembre del 2005 detecta y elimina este gusano.
