|
Rontokbro.BB es un destructivo gusano reportado el 16 de Enero del 2007 de propagación masiva a través de mensajes de Correo con un asunto definido, uno de dos contenidos y un mismo archivo anexado.
Libera varias copias de sí mismo en diversas rutas, deshabilita el Editor de Registros de Windows y Ejecuta el Explorer.exe al inicio del sistema.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 48 KB y comprimido con el utilitario MEW:
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows (WAB).
Los mensajes tienen las siguientes características:
Remitente, los extraídos del sistema.Asunto: Fotoku yg Paling Cantik
Contenido: uno de los siguientes:
Anexado: Photo.zip
Photo.zip contiene los archivos Photo.bmp y View-Photo.bat, este último ejecuta Photo.bmp que descarga un malware de un sitio web cifrado.
Al ser activado el gusano se copia a las siguientes rutas:
libera también los siguientes archivos:
los archivos con extensión .job contienen tareas que ordenan a Windows ejecutar las copias del gusano una vez al día.
el gusano instala además un copia infectada de sí mismo en %System%\msvbvm60.dll.
para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:
[HKEY_CURRENT_USER\Microsoft\Windows\CurrentVersion\Policies\Explorer\run]
"[caracteres_aleatorios] = "User\Local Settings\Application Data\dv[aleatorio]\yesbron.com"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
"[caracteres_aleatorios] = "%Windir%\_default[aleatorio].pif"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"[caracteres_aleatorios] = "%System%"\n[aleatorio]\sv[aleatorio].exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"[caracteres_aleatorios] = "%Windir%\j[aleatorio].exe"
para ejecutar Windows Explorer al inicio del sistema modifica la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell Explorer.exe" "%Windir%\o[aleatorio].exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.
para deshabilitar el Editor de Registros crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"
para ocultar archivos con el atributo Hidden
crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "dword:00000000"
para ocultar los nombres de extensiones de archivos:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "dword:00000001"
para ocultar archivos con el atributo System crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "dword:00000000"
Al siguiente inicio activa su rutina de envío masivo de mensajes de correo y cierra las ventanas de los programas que tengan las cadenas:
PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 16 de Enero del 2007 detectan y eliminan este gusano.
