Rontokbro.F

RONTOKBRO.F gusano de Correo altera AUTOEXEC.BAT deshabilita opción de Windows Explorer y Panel de Control, etc.

W32/Rontokbro.F@mm

Rontokbro.F es un gusano residente en memoria reportado el 18 de Octubre del 2005 de propagación masiva a través de mensajes de Correo con un Asunto, Contenido en blanco y archivo anexado con el icono de una carpeta.

Altera el AUTOEXEC.BAT para ocasionar una pausa al inicio del sistema cada vez que éste se inicie.

Libera varias copias de sí mismo en diversas carpetas, re-inicia el sistema cada vez que encuentra una ventana con la cadena .EXE y REGISTRY en la barra de títulos.

Modifica una llave de registro para deshabilitar la opción de menu drop-down en Windows Explorer y Panel de Control, deshabilita las herramientas de Edición del Registro.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP/, incluyendo los servidores NT/2000/Server 2003 está desarrollado y complilado en MS Visual Basic, con una extensión de 42 KB y requiere que el archivo MSVBVM60.DLL esté instalado en el sistema.

Está comprimido con el utilitario MEW (desarrollado en C++ y Assembler por el grupo de hackers denominado Northfox):

http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows o a las contenidas en archivos con las siguientes extensiones:

asp
cfm
csv
doc
eml
html
php
txt
wab

evitando enviarse a las direcciones que tengan las cadenas:

admin
ahnlab
aladdin
alert
alwil
antigen
associate
avast
avira
billing@
builder
cillin
contoh
crack
database
develop
esafe
esave
escan
example
grisoft
hauri
info@
linux
master
microsoft
network
nod32
norman
norton
panda
program
proland
protect
robot
security
source
sybari
symantec
trust
update
vaksin
virus

Los mensajes tienen las siguientes características:

Remitente, las extraídas del sistema.

Asunto: en blanco

Contenido: en blanco.

Anexado: Kangen.exe

Al ser ejecutado en 2000/XP y Server 2003 se copia a las siguientes rutas con los nombres:

%System%\[nombre_del_usuario]\Setting.scr
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
%UserProfile%\Start Menu\Programs\Startup\Empty.pif
%UserProfile%\Templates\WowTumpeh.com
%Windir%\eksplorasi.exe
%Windir%\ShellNew\sempalong.exe

en Windows 95/98 y NT libera la siguiente copia de sí mismo:

%Root%\eksplorasi.pif %root%\ShellNew\bronstab.exe

en Windows Me se copia a:

%Windir%\Application Data\csrss.exe
%Windir%\Application Data\inetinfo.exe
%Windir%\Application Data\lsass.exe
%Windir%\Application Data\services.exe
%Windir%\Application Data\smss.exe
%Windir%\Application Data\winlogon.exe
%Windir%\eksplorasi.pif
%Windir%\ShellNew\sempalong.exe
%Windir%\Start Menu\Programs\Startup\Empty.pif
%Windir%\Templates\WowTumpeh.com

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

%Root% es el directorio raíz C:\

crea una carpeta de nombre Bron.tok-XX-XX en la ruta:

%UserProfile%\Local Settings\Application Data

Los caracteres XX corresponden al mes y el día en que el gusano será ejecutado.

también sobre-escribe el AUTOEXEC.BAT ubicado en el directorio raíz de C:\ con la siguiente cadena:

pause

obligando al usario a presionar cualquier tecla para continuar con el proceso.

Para ejecutarse la próxima vez que se re-inicie el sistema modificas las llaves:

en Windows 2000/XP y Server 2003:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Tok-Cirrhatus = ""%UserProfile%\Application Data\smss.exe""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Bron-Spizaetus = ""%Windows%\ShellNew\sempalong.exe""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = "Explorer.exe "C:\WINDOWS\eksplorasi.exe""

en Windows NT:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Tok-Cirrhatus = "\Java\smss.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Bron-Spizaetus = ""\ShellNew\sempalong.exe""

en Windows Me:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
Tok-Cirrhatus = "%Windows%\Application Data\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Bron-Spizaetus = ""%Windows%\ShellNew\sempalong.exe""

para remover el uso de la opción de menu drop-down en Windows Explorer y el Panel de Control modifica la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:00000001"

el usuario no podrá cambiar esta configuración así como mostrar carpetas ocultas o rutas en la barra de títulos.

crea la siguiente llave de registro cuya acción no tiene ningún efecto:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:00000000"

para deshabilitar el Editor de Registro crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

Al siguiente inicio activa su rutina de envío masivo de mensajes de correo, altera el proceso del AUTOEXEC.BAT, deshabilita el Editor de Registro y la Opción de menu desplegable en Windows Explorer y el Panel de Control.

Re-inicia el sistema cada vez que encuentre una ventana con la cadena .EXE y REGISTRY en la barra de títulos y procede a ejecutar las acciones nocivas antes descritas.

La Barra de Títulos es el nombre de un archivo o aplicación en MS Windows que se muestra en la parte superior de una ventana, caja de diálogo, graficador, etc.

PER ANTIVIRUS® versiones 9.4 y 9.5 con registro de virus al 18 de Octubre del 2005 detectan y eliminan este gusano.