W32/Rontokbro.DP

RONTOKBRO.DP gusano redes recursos compartidos deshabilita aplicaciones y servicios deja inoperativo sistema.

W32/Rontokbro.DP

Rontokbro.DP es un destructivo gusano reportado el 08 de Noviembre del 2007 de propagación masiva a través de redes con recursos compartidos configuradas con contraseñas débiles y unidades de almacenamiento removibles.

Infecta la raíz de todas las unidades de disco. Deshabilita e inhabilita funciones, servicios y programas del sistema, dejándolo inoperativo.

Es posible Restaurar exitosamente el sistema a una fecha anterior o será necesario re-instalar el sistema operativo.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003 está desarrollado en MS Visual C++, con una extensión de 48 KB y comprimido con el utilitario MEW:

Al ser ejecutado el gusano se copia a las siguientes rutas y con los nombres:

%UserProfile%\Documents\Music.exe
%Startup%\Default.pif
%Root%\Windowxp\explorer.exe
%Windir%\Fonts\smss.exe
%Windir%\System32.exe
%System%\dllcache\services.exe
%System%\oobe\isperror\csrss.exe

luego libera los siguietes archivos:

%Root%\autorun.inf
%Windir%\SoftWareProtector\smss_out.pr
%Windir%\winxp.inf

para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,%Windir%\fonts\smss.exe"

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

%Startup% es la barra de menu del lado izquierdo del escritorio de Windows que muestra la lista de programas más usados en un sistema. Se activa haciendo click en "Inicio".

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Root% representa la raíz de la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

al siguiente inicio del equipo, el gusano modifica las siguientes sub-llaves, para ejecutar la copia de sí mismo csrss.exe, cada vez que se abran archivos con las extensines BAT, COM, EXE y PIF.

[HKEY_CURENT_USER\lnkfile\shell\open\command]
"default" = "%System%\oobe\isperror\csrss.exe" "%1" %*

[HKEY_CURENT_USER\batfile\shell\open\command]
"default" = "%System%\oobe\isperror\csrss.exe" "%1" %*

[HKEY_CURENT_USER\comfile\shell\open\command]
"default" = "%System%\oobe\isperror\csrss.exe" "%1" %*

[HKEY_CURENT_USER\exefile\shell\open\command]
"default" = "%System%\oobe\isperror\csrss.exe" "%1" %*

[HKEY_CURENT_USER\piffile\shell\open\command]
"default" = "%System%\oobe\isperror\csrss.exe" "%1" %*

para deshabilitar funciones y servicios del sistema, crea las sub-llaves:

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
HideClock = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoControlPanel = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDrives = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFind = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRun = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoShellSearchButton = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoSimpleStartMenu = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDesktop = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableCMD = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoFolderOptions = 00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoControlPanel = 00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
kbao = AUTO.TXT

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
DisableTaskMgr = 00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system]
DisableRegistryTools = 00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
DisableConfig = 00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
DisableSR = 00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer]
LimitSystemRestoreCheckpointing = 00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
DisableMSI = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 000

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 00

[HKEY_CURENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 000

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
Debugger = %System%\dllcache\services.exe

Es posible Restaurar exitosamente el sistema a una fecha anterior o será necesario re-instalar el sistema operativo.

PER ANTIVIRUS® versión 10.3 con registro de virus al 08 de Noviembre del 2007 detecta y elimina este gusano.