|
Rontokbro.AI es un destructivo gusano de origen indonés reportado el 25 de Abril del 2006 de propagación masiva a través de mensajes de Correo con asuntos, contenidos y archivos anexados aleatorios.
Deshabilita el Editor de Registros, ejecuta el Explorer.exe al Inicio del sistema, cambia los atributos de archivos al modo "Oculto", oculta los nombres de extensiones de archivos y los archivos de atributo "System".
Modifica el archivo HOSTS para impedir el acceso a una larga lista de sitios web relacionados a sistemas de seguridad y pornografía.
Instala una nueva versión infectada del archivo msvbvm60.dll, cierra las ventanas de múltiples programas y abre un archivo de texto con cadenas en lenguajes indonés e inglés.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 48 KB y está comprimido con el utilitario MEW:
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows que extrae del sistema.
Los mensajes tienen las siguientes características:
Remitente, uno de los siguientes:Asunto:
Contenido: uno de los siguientes:
Thanks
Anexado: Photo.zip
El archivo Photo.zip contiene Photo.bmp y View-Photo.bat.
View-Photo.bat ejecuta Photo.bmp, el cual es un ejecutable (troyano) renombrado que intenta descargar una copia de sí mismo de un determinado sitio web (actualmente censurado).
Al ser ejecutado el gusano se copia a las siguientes rutas y con los nombres:
luego libera los archivos en las rutas:
los archivos con extensión .job contienen horarios de tareas que ejecutan el gusano en forma periódica.
el archivo .txt contiene las siguientes cadenas:
|
######################### BRONTOK.C[22] ######################### -- Hentikanlah kebobrokan di negeri ini -- 1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA ( Send To NUSAKAMBANGAN ) 2. Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL ) 3. Stop Pencemaran Alam, Pembakaran Hutan & Perburuan Liar. 4. SAY NO TO DRUGS !!! -- Spizaetus Cirrhatus -- [ By JowoBot ] +++++0000++++00000++++0000+++0+++++0++0000000+++0000+++0+++0+++++ +++++0++++0++0++++0++0++++0++00++++0+++++0+++++0++++0++0++0++++++ +++++0++++0++0++++0++0++++0++0+0+++0+++++0+++++0++++0++0+0+++++++ +++++00000+++00000+++0++++0++0++0++0+++++0+++++0++++0++00++++++++ +++++0++++0++0++0++++0++++0++0+++0+0+++++0+++++0++++0++0+0+++++++ +++++0++++0++0+++0+++0++++0++0++++00+++++0+++++0++++0++0++0++++++ +++++0000++++0++++0+++0000+++0+++++0+++++0++++++0000+++0+++0+++++ ~~ Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'Mereka' ~~ Nobron & Romdil = Otak Kosong, Mulut Besar, Cuma Bisa Nobron = Satria Dungu = Nothing !!! Romdil = Tukang Jiplak = Nothing !!! Nobron & Romdil -->> Kicked by The Amazing Brontok [ By JowoBot ] |
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.
%Root% es el directorio raíz C:\
Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]
"[aleatorio]" = "%UserProfile%\Local Settings\Application Data\dv[cifra_aleatoria1]\yesbron.com"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"random" = "%Windir%"\_default[cifra_aleatoria8].pif"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"random" = "%System%\n[cifra_aleatoria3]\sv[cifra_aleatoria4]r.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"random" = "%Windir%\j[cifra_aleatoria6].exe"
para ejecutar los archivos j6321422.exe y o4321427.exe al Inicio del sistema, cambia la llave:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell Explorer.exe" = "%Windir%\o[cifra_aleatoria7].exe"
lo cual ocasionará que el Explorer.exe sea activado al re-iniciar el sistema.
para deshabilitar el Editor de Registro crea la llave:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1
para ocultar archivos con el atributo "Oculto" crea la llave:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 0
para ocultar los nombres de extensiones de archivos:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 1
para ocultar archivos con el atributo System crea la llave:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 0
Al siguiente inicio activa su rutina de envío masivo de mensajes de correo y cierra las ventanas de los programas que tenga una de las siguientes cadenas:
PER ANTIVIRUS® versiones 9.6 y 9.7 con registro de virus al 25 de Abril del 2006 detectan y eliminan este gusano.
