|
Rontokbro.DT es un destructivo gusano reportado el 26 de Febrero del 2008 de propagación masiva a través de redes con recursos compartidos configuradas con contraseñas débiles, unidades de disco fijas y removibles.
Infecta la raíz de todas las unidades de disco. Deshabilita e inhabilita funciones, servicios y programas del sistema, dejándolo inoperativo.
Es posible Restaurar exitosamente el sistema a una fecha anterior o será necesario re-instalar el sistema operativo.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003 está desarrollado en MS Visual C++, con una extensión de 79 KB y comprimido con el utilitario MEW:
Al ser ejecutado el gusano se copia a las siguientes rutas y con los nombres:
luego libera los siguietes archivos:
para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%Windir%\fonts\csrss.exe"
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.
%Startup% es la barra de menu del lado izquierdo del escritorio de Windows que muestra la lista de programas más usados en un sistema. Se activa haciendo click en "Inicio".
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%Root% representa la raíz de la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
al siguiente inicio del equipo, el gusano modifica las siguientes sub-llaves, para ejecutar la copia de sí mismo services.exe, cada vez que se abran archivos con las extensines BAT, COM y PIF.
[HKEY_CURRENT_USER\lnkfile\shell\open\command]
"default" = "%System%\config\systemprofile\Application Data\Microsoft\Internet Explorer\smss.exe" "%1" %*"
[HKEY_CURRENT_USER\batfile\shell\open\command]
"default" = "%System%\spool\drivers\w32x86\3\services.exe" "%1" %*"
[HKEY_CURRENT_USER\comfile\shell\open\command]
"default" = "%System%\spool\drivers\w32x86\3\services.exe" "%1" %*"
[HKEY_CURRENT_USER\piffile\shell\open\command]
"default" = "%System%\config\systemprofile\Application Data\Microsoft\Internet Explorer\smss.exe" "%1" %*"
Cambia las entradas de registro
de las siguientes llaves y sub-llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
HideClock = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoControlPanel = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDrives = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFind = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRun = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoShellSearchButton = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRecentDocsMenu = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoClose = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoSimpleStartMenu = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableCMD = 00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoFolderOptions = 00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoControlPanel = 00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
kb = kbao
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig = 00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = 00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer
LimitSystemRestoreCheckpointing = 00
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer]
DisableMSI = 00
[HKEY_CURRENT_USER\Folder\shell\raila\command]
"default"= %System%\config\systemprofile\Application Data\Microsoft\Internet Explorer\smss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
legalnoticecaption = RAILA ODINGA-THE KENYA,S TOP AGENT FOR CHANGE
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
legalnoticetext = No single individual can pull this country out of the muck it is in. I believe in collective leadership.
I think I can put together a team that can salvage this country. I have done so in the past.
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
shutdownwithoutlogon = 000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
Debugger = %Windir%\fonts\csrss.exe
Cambia entradas en la sub-llave:
[HKCR\Folder\shell\raila]
Es posible Restaurar exitosamente el sistema a una fecha anterior o será necesario re-instalar el sistema operativo.
PER ANTIVIRUS® versión X4 con registro de virus al 26 de Febrero del 2008 detecta y elimina este gusano.
