|
Rontokbro.MM es un destructivo gusano reportado en Julio del 2006 y repotenciado el 20 de Octubre del 2006 de propagación a través de diversos servicios de Internet, incluyendo mensajes de Correo, P2P y el IRC.
Deshabilita el Editor de Registros, la invocación al archivo COMMAND, ejecuta el Explorer.exe al Inicio del sistema, cambia atributos de carpetas al modo "Oculto", oculta los nombres de extensiones de archivos regulares y los de atributo "System".
Al siguiente inicio el equipo funcionará en forma anormal. Será necesario realizar una muy ardua y temeraria labor manual con posibilidad de cometer errores, ya que que este gusano libera además archivos ocultos ubicados aleatoriamente en las carpetas afectadas.
En la mayoría de casos es posible Restaurar exitosamente el sistema a una fecha anterior o será necesario re-instalar el sistema operativo.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 36 KB y comprimido con el utilitario MEW:
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Al ser ejecutado el gusano se copia a las siguientes rutas y con los nombres:
luego libera el archivo sistem.sys en la carpeta %System% y otros 4 dígitos aleatorios y la extensión .EXE , con atributos de "oculto" ubicados aleatoriamente en las carpetas afectadas %UserProfile%, %Windir% y %System%, cuyo accionar es desconocido.
para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:
para activar br6591on.exe y bbm-qotkmgfc.exe:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus-[br6591]"
= "%UserProfile%\Local Settings\Application Data\br6591on.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus-cfgmktoq"
= "%Windir%\ShellNew\bbm-qotkmgfc.exe"
para activar sembako-cfzjkmg.exe:
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell Explorer.exe" =
%Windir%\sembako-cfzjkmg.exe"
lo cual ocasionará que el Explorer.exe sea activado al re-iniciar el sistema.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.
para deshabilitar el Editor de Registro crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = 1
para ocultar las carpetas del Explorador de
Windows crea la sub-llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = 1
para deshabilitar el promptus del archivo Command:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableCMD = 0
para ocultar los nombres de extensiones de archivos regulares:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 1
para ocultar archivos con el atributo System crea la llave:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
ShowSuperHidden = 0
Al siguiente inicio del equipo no podrá ser posible el normal funcionamiento
del sistema. Será necesario
realizar una ardua y temeraria labor manual con posibilidad de cometer errores, ya que que
este gusano libera archivos ocultos ubicados aleatoriamente en las carpetas
afectadas.
En la mayoría de casos es posible Restaurar exitosamente el sistema a una fecha anterior o será necesario re-instalar el sistema operativo.
PER ANTIVIRUS® versiones 9.8 y 9.9 con registro de virus al 20 de Octubre del 2006 detectan y eliminan este gusano.
