Rontokbro.M

RONTOKBRO.M destructivo gusano de Internet deshabilita editor de registros oculta atributos extensiones de archivos, etc.

W32/Rontokbro.M@mm, W32/Brontok.M

Rontokbro.M es un destructivo gusano de origen indonés reportado el 20 de Julio del 2006 de propagación a través de diversos servicios de Internet, incluyendo mensajes de Correo.

Deshabilita el Editor de Registros, ejecuta el Explorer.exe al Inicio del sistema, cambia los atributos de archivos al modo "Oculto", oculta los nombres de extensiones de archivos y los archivos de atributo "System".

Cierra las ventanas de procesos relacionados a software antivirus, firewalls y sistemas de seguridad que se encuentren activadas.

Modifica el archivo HOSTS para impedir el acceso a una larga lista de sitios web relacionados a sistemas de seguridad y pornografía.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 46 KB y comprimido con el utilitario MEW:

http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml

Al ser ejecutado el gusano se copia a las siguientes rutas y con los nombres:

%UserProfile%\Local Settings\Application Data\br[4_dígitos_aleatorios]on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%Windir%\ShellNew\bbm-qotkmgfc.exe
%Windir%\sembako-cfzjkmg.exe
%System%\cmd-bro-mkx.exe

luego libera el archivo sistem.sys en la carpeta %System% y para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus-[4_dígitos_aleatorios]" = "%UserProfile%\Local Settings\Application Data\br[4_dígitos_aleatorios]on.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus-cfgmktoq" = "%Windir%\ShellNew\bbm-qotkmgfc.exe"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell Explorer.exe" = %Windir%\sembako-cfzjkmg.exe"

lo cual ocasionará que el Explorer.exe sea activado al re-iniciar el sistema.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

para deshabilitar el Editor de Registro crea la llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1

para ocultar archivos con el atributo "Oculto" crea la llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = 0

para ocultar los nombres de extensiones de archivos:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 1

para ocultar archivos con el atributo System crea la llave:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 0

Al siguiente inicio activa su rutina de envío masivo de mensajes de correo y cierra las ventanas de programas que tenga cadenas relacionadas a software antivirus, firewalls y sistemas de control.

Modifica el archivo HOSTS para impedir el acceso a una extensa lista de URLs relacionados a sistemas de seguridad y pornografía.

PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 20 de Julio del 2006 detectan y eliminan este gusano.