Rontokbro.T

RONTOKBRO.T gusano de Correo altera AUTOEXEC.BAT deshabilita opción de Windows Explorer y Panel de Control, etc.

W32/Rontokbro.T@mm

Rontokbro.T es un gusano residente en memoria reportado el 01 de Diciembre del 2005 de propagación masiva a través de mensajes de Correo con un Asunto en blanco contenidos y archivos anexado con el icono de una carpeta de MS Windows.

Altera el AUTOEXEC.BAT para ocasionar una pausa al inicio del sistema, cada vez que éste se inicie.

Libera varias copias de sí mismo en diversas carpetas de los distintos sistemas operativos, re-inicia el sistema cada vez que se abre una venta con diversos comandos o procesos, crea un esquema de tareas para ejecutarse periódicamente, deshabilita el promtus del Command y el Editor de Registros.

Se configura con el atributo de "oculto" y esconde determinados archivos.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 42 KB y requiere que el archivo MSVBVM60.DLL esté instalado en el sistema.

Está comprimido con el utilitario MEW:

http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml

Con su propio SMTP se envía a la Libreta de Direcciones de Windows o a las direcciones contenidas en las extensiones:

evitando enviarse a las que tengan las cadenas:

..
.ac.id
.asp
.c
.co.id
.exe
.go.id
.htm
.js
.mil.id
.net.id
.or.id
.php
.sch.id
.vbs
.war.net.id
.web.id
admin
adobe
ahnlab
aladdin
alert
alwil
antigen
apache
archieve
asdf
associate
astaga
avast
avg
avira
billingc
black
blah
bleep
boleh
bug
builder
buntu
c.
c456
cabc
canon
cillin
cisco
click
cmac
cnet
compuse
compute
contoh
crack
dark
database
demo
develop
domain
download
electro
elektro
emailku
esafe
esave
escan
example
feedback
fooc
free
fuck
fuji
fujitsu
gateway
gaul
google
grisoft
group
hack
hauri
hidden
hp.
ibm.
ieee
indo
infoc
informa
intel.
iptek
kde
komputer
lab
linux
looksmart
lotus
lucent
macro
master
math
micro
microsoft
mozilla
mysql
nasa
netscape
network
news
nod65
nokia
norman
norton
novell
nvidia
opera
overture
panda
plasa
postgre
program
proland
promo
protect
proxy
recipient
redha
regist
relay
response
robot
sales
satu
secun
secure
security
sekur
senior
server
service
siemens
sierra
slack
smtp
soft
some
source
spam
spersky
spyw
studio
sun.
support
suse
sybari
symantec
syndicat
telecom
telkom
test
track
trend
trust
update
username
vaksin
virus
w6.
www
xandros
xerox
xxx
yahoo
your
zdnet
zend
zombie

Los mensajes tienen las siguientes características:

Remitente, las extraídas del sistema.

Asunto: en blanco

Contenido, uno de los siguientes:

-- Hentikan kebobrokan di negeri ini --
1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
2. Stop Free Sex, Aborsi, & Prostitusi?brA( Go To HELL )
3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
-- JowoBot #VM Community --
!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

Anexado, cualquiera de estos archivos:

ccapps.exe
jangan dibuka.exe
kangen.exe
my heart.exe
myheart.exe
syslove.exe
untukmu.exe
winword.exe

Al ser ejecutado en 2000/XP y Server 2003 se copia a las siguientes rutas con los nombres:

%System%\[nombre_de_usuario] Setting.scr
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
%UserProfile%\Start Menu\Programs\Startup\Empty.pif
%UserProfile%\Templates\Brengkolang.com
%Windows%\BerasJatah.exe
%Windows%\ShellNew\sempalong.exe

libera ademas archivos de almacenamiento en las siguientes rutas:

%System%\config\systemprofile\Local Settings\Application Data
%UserProfile%\Local Settings\Application Data

en Windows Me se copia a:

%Windows%\Application Data\csrss.exe
%Windows%\Application Data\inetinfo.exe
%Windows%\Application Data\lsass.exe
%Windows%\Application Data\services.exe
%Windows%\Application Data\smss.exe
%Windows%\Application Data\winlogon.exe
%Windows%\BerasJatah.exe
%Windows%\ShellNew\sempalong.exe
%Windows%\Start Menu\Programs\Startup\Empty.pif
%Windows%\Templates\Brengkolang.com

en Windows NT libera las siguientes copias de sí mismo:

%Root%\eksplorasi.exe
%Root%\ShellNew\sempalong.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/XP/NT.

%Root% es el directorio raíz C:\

crea la carpeta de nombre Bron.tok-XX-XX en:

%UserProfile%\Local Settings\Application Data (Windows 2000/XP/Server 2003)
%Windows%\Application Data (Windows Me)

Los caracteres XX son 2 dígitos y corresponden al mes y el día en que el gusano será ejecutado.

también sobre-escribe el AUTOEXEC.BAT ubicado en el directorio raíz de C:\ con la siguiente cadena:

pause

obligando al usuario a presionar cualquier tecla para continuar con el proceso.

Para ejecutarse la próxima vez que se re-inicie el sistema modificas las llaves:

en Windows 2000/XP y Server 2003:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windir%\Application Data\smss.exe""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""

en Windows Me:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windir%\Application Data\smss.exe""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windir%\Application Data\smss.exe""

en Windows 98:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windir%\Application Data\smss.exe""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus" = ""%Windir%\Application Data\smss.exe""

En Windows 98 crea sus llaves de registro pero por un error de programación no genera la carpeta Media y libera el archivo smss.exe.

para remover la opción de carpetas en las herramientas desplegables de la barra del menú de Windows Explorer y Panel de Control crea las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = "dword:00000001"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoFolderOptions = "dword:00000001"

para deshabilitar el Editor de Registros y el comando CMD agrega los valores:

"DisableRegistryTools" = "1"
"DisableCMD" = "0"

a la sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

para deshabilitar la opción de menu drop-down en Windows Explorer y el Panel de Control modifica la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "dword:00000001"

el usuario no podrá cambiar esta configuración así como mostrar carpetas ocultas o rutas en la barra de títulos.

crea la siguiente llave de registro cuya acción no tiene ningún efecto:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "dword:00000000"

para deshabilitar el Editor de Registro crea la llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "dword:00000001"

Adicionalmente crea las llaves:

en Windows 2000/XP y Server 2003

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe "%Windir%\BerasJatah.exe""

en Windows NT:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe \BerasJatah.exe""

El valor por defecto es "Explorer.exe"

Para deshabilitar el promtus del Command, crea las llaves:

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableCMD = "dword:00000000"

[ HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableCMD = "dword:00000000"

crea o modifica otras llaves con atributo de "oculto" o para esconder las extensiones de algunos archivos.

Al siguiente inicio activa su rutina de envío masivo de mensajes de correo, altera el proceso del AUTOEXEC.BAT, deshabilita el Editor de Registro y la Opción de menu desplegable en Windows Explorer y el Panel de Control.

En Windows 2000/XP y Server 2003 configura unas tareas usando el Microsoft Job Scheduler creando la tarea AT1.JOB en la carpeta de tareas, ejecutando el gusano diariamente a las 05:08 PM.

Re-inicia el sistema cada vez que encuentre una ventana con una de las siguientes cadenas en la barra de títulos:

.EXE
BLEEPING
COMMAND PROMPT
HIJACK
KILLBOX
LOG OFF WINDOWS
REGISTRY
SCRIPT HOST
SHUT DOWN
SYSTEM CONFIGURATION
TASK KILL
TASKKILL .

La Barra de Títulos es el nombre de un archivo o aplicación en MS Windows que se muestra en la parte superior de una ventana, caja de diálogo, graficador, etc.

PER ANTIVIRUS® versión 9.5 con registro de virus al 01 de Diciembre del 2005 detecta y elimina este gusano.