|
Rontokbro.B es un gusano reportado el 29 de Septiembre del 2005 de propagación masiva a través de mensajes de Correo con Asunto, Contenido en blanco y un archivo anexado con el icono de una carpeta. |
|
|
|
Rontokbro.B es un gusano reportado el 29 de Septiembre del 2005 de propagación masiva a través de mensajes de Correo con Asunto, Contenido en blanco y un archivo anexado con el icono de una carpeta. |
Abre una ventana de IE para ocultar su ejecución, sobre-escribe el AUTOEXEC.BAT para ocasionar una pausa al inicio del sistema cada vez que se inicie el sistema.
Libera varias copias de sí mismo en diversas carpetas, re-inicia el sistema vez que encuentra una ventana con la cadena .EXE y REGISTRY en la barra de títulos.
Modifica ciertas llaves de registro para remover el uso de la caja de diálogo de Opciones de Carpeta de menus en Windows Explorer y del Panel de Control y deshabilita las herramientas de Edición del Registro.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado y complilado en MS Visual Basic, con una extensión de 80 KB y requiere que el archivo MSVBVM60.DLL esté instalado en el sistema.
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows o a las contenidas en archivos con las siguientes extensiones:
evitando enviarse a las direcciones que tengan las cadenas:
Los mensajes tienen las siguientes características:
Remitente, las extraídas del sistema.Asunto: en blanco
Contenido: en blanco.
Anexado: Kangen.exe
El archivo usa el icono de una carpeta y al ser activado abre una ventana del Internet Explorer para ocultar su ejecución.
luego se copia a las siguientes rutas con los nombres:
en Windows NT/2000/XP y Server 2003 libera las siguientes copias de sí mismo:
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.
crea una carpeta de nombre Bron.tok-29 en la ruta:
%UserProfile%\Local Settings\Application Data
también sobre-escribe el AUTOEXEC.BAT ubicado en el directorio raíz de C:\ con la siguiente cadena:
pause
obligando al usario presionar cualquier tecla para continuar con el proceso.
Para ejecutarse la próxima vez que se re-inicie el sistema modificas las llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = "%Windir%\INF\norBtok.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = "%UserProfile%\Application Data\smss.exe"
para remover el uso de la caja de diálogo de Opciones de Carpeta de menus en Windows Explorer y del Panel de Control modifica la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:00000001"
para deshabilitar el Editor de Registro crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"
crea la siguiente llave de registro cuya acción no tiene ningún efecto:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:00000000"
Al siguiente inicio activa su rutina de envío masivo de mensajes de correo altera el proceso del AUTOEXEC.BAT y re-inicia el sistema cada vez que encuentre una ventana con la cadena .EXE y REGISTRY en la barra de títulos y procediendo a ejecutar las acciones nocivas antes descritas.
La Barra de Títulos es el nombre de un archivo o aplicación en MS Windows que se muestra en la parte superior de una ventana, caja de diálogo, graficador, etc.
PER ANTIVIRUS® versión 9.4 con registro de virus al 29 de Septiembre del 2005 detecta y elimina este gusano.
