WORM_RONTKBR.B
Worm:Win32/Brontok.L@mm (Microsoft); Email-Worm.Win32.Brontok.q (Kaspersky); W32.Rontokbro@mm (Symantec)
Windows
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
Detalles técnicos
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %AppDataLocal%\csrss.exe
- %AppDataLocal%\inetinfo.exe
- %AppDataLocal%\lsass.exe
- %AppDataLocal%\services.exe
- %AppDataLocal%\smss.exe
- %AppDataLocal%\winlogon.exe
- %Application Data%\Microsoft\Windows\Templates\WowTumpeh.com (Windows Vista and higher versions)
- %User Profile%\Templates\WowTumpeh.com (Versions lower than Windows Vista)
- %Windows%\eksplorasi.exe
- %Windows%\ShellNew\bronstab.exe
- %System%\{user name}-{host name}'s Setting.scr
Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
Crea las carpetas siguientes:
- %AppDataLocal%\Bron.tok-{mm}-{dd}
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus = "%AppDataLocal%\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\ShellNew\bronstab.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%Windows%\eksplorasi.exe""
(Note: The default value data of the said registry entry is "Explorer.exe".)
Permite su ejecución automática cada vez que se inicia el sistema al crear las siguientes copias de sí mismo dentro de la carpeta de inicio común de Windows:
- %Start Menu%\Programs\Startup\Empty.pif
(Nota: %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).
)Otras modificaciones del sistema
Modifica los archivos siguientes:
- %System Root%\AUTOEXEC.bat
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(Note: The default value data of the said registry entry is "1".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(Note: The default value data of the said registry entry is "0".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is "1".)
Propagación
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {removable drive letter}:\Data {user name}-{host name}.exe