WORM_RONTOKBRO
Brontok
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\{random folder name}\yesbron.com
- %Application Data%\jalak-{random numbers}-bali.com
- %System%\c_{random numbers}k.com
- %System%\{random folder name}\smss.exe
- %System%\{random folder name}\csrss.exe
- %System%\{random folder name}\lsass.exe
- %System%\{random folder name}\m{random numbers}.exe
- %System%\{random folder name}\services.exe
- %System%\{random folder name}\winlogon.exe
- %System%\{random folder name}\{random file name}.exe
- %Windows%\{random file name}.exe
- %Windows%\_default{random numbers}.pif
- %Windows%\{random folder name}\{random file name}.exe
Infiltra los archivos siguientes:
- %System Root%\Baca Bro !!!.txt
- %System%\{random folder name}\c.bron.tok.txt
- %System%\{random folder name}\domlist.txt
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Crea las carpetas siguientes:
- %Application Data%\{random folder name}
- %System%\{random folder name}
- %System%\{random folder name}\Spread.Mail.Bro
- %System%\{random folder name}\Spread.Sent.Bro
- %Windows%\{random folder name}
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\run
{random characters} = "%Application Data%\{random folder name}\yesbron.com"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%System%\{random folder name}\{random file name}.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\run
{random characters} = "%Windows%\_default{random numbers}.pif"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random characters} = "%Windows%\{random file name}.exe"
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%Windows%\{random file name}.exe""
(Note: The default value data of the said registry entry is Explorer.exe.)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe,%Windows%\{random file name}.exe"
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "c_{random numbers}k.com"
(Note: The default value data of the said registry entry is cmd.exe.)
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Brontok
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "48"
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is 1.)
Modificar el archivo HOSTS
Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:
- 127.0.0.22 downloads1.kaspersky-labs.net
- 127.0.0.22 downloads1.kaspersky-labs.org
- 127.0.0.22 downloads2.kaspersky-labs.com
- 127.0.0.22 downloads2.kaspersky-labs.net
- 127.0.0.22 downloads2.kaspersky-labs.org
- 127.0.0.22 downloads3.kaspersky-labs.com
- 127.0.0.22 downloads3.kaspersky-labs.net
- 127.0.0.22 downloads3.kaspersky-labs.org
- 127.0.0.22 downloads4.kaspersky-labs.com
- 127.0.0.22 downloads4.kaspersky-labs.net
- 127.0.0.22 downloads4.kaspersky-labs.org
- 127.0.0.22 esafe.com
- 127.0.0.22 esafe.net
- 127.0.0.22 esafe.org
- 127.0.0.22 europe.f-secure.com
- 127.0.0.22 europe.f-secure.net
- 127.0.0.22 europe.f-secure.org
- 127.0.0.22 f-secure.com
- 127.0.0.22 f-secure.net
- 127.0.0.22 f-secure.org
- 127.0.0.22 fajarweb.com
- 127.0.0.22 fajarweb.net
- 127.0.0.22 fajarweb.org
- 127.0.0.22 forum.vaksin.com
- 127.0.0.22 forum.vaksin.net
- 127.0.0.22 forum.vaksin.org
- 127.0.0.22 free-av.com
- 127.0.0.22 free-av.net
- 127.0.0.22 free-av.org
- 127.0.0.22 grisoft.com
- 127.0.0.22 grisoft.net
- 127.0.0.22 grisoft.org
- 127.0.0.22 icubed.com
- 127.0.0.22 icubed.net
- 127.0.0.22 icubed.org
- 127.0.0.22 infokomputer.com
- 127.0.0.22 infokomputer.net
- 127.0.0.22 infokomputer.org
- 127.0.0.22 it.trendmicro-europe.com
- 127.0.0.22 it.trendmicro-europe.net
- 127.0.0.22 it.trendmicro-europe.org
- 127.0.0.22 jasakom.com
- 127.0.0.22 jasakom.net
- 127.0.0.22 jasakom.org
- 127.0.0.22 jeruk.padinet.com
- 127.0.0.22 jeruk.padinet.net
- 127.0.0.22 jeruk.padinet.org
- 127.0.0.22 kaskus.com
- 127.0.0.22 kaskus.net
- 127.0.0.22 kaskus.org
- 127.0.0.22 kaspersky-labs.com
- 127.0.0.22 kaspersky-labs.net
- 127.0.0.22 kaspersky-labs.org
- 127.0.0.22 kaspersky.com
- 127.0.0.22 kaspersky.net
- 127.0.0.22 kaspersky.org
- 127.0.0.22 liveupdate.symantec.com
- 127.0.0.22 liveupdate.symantec.net
- 127.0.0.22 liveupdate.symantec.org
- 127.0.0.22 liveupdate.symantecliveupdate.com
- 127.0.0.22 liveupdate.symantecliveupdate.net
- 127.0.0.22 liveupdate.symantecliveupdate.org
- 127.0.0.22 mcafee.com
- 127.0.0.22 mcafee.net
- 127.0.0.22 mcafee.org
- 127.0.0.22 mcafeeb2b.com
- 127.0.0.22 mcafeeb2b.net
- 127.0.0.22 mcafeeb2b.org
- 127.0.0.22 mcafeesecurity.com
- 127.0.0.22 mcafeesecurity.net
- 127.0.0.22 mcafeesecurity.org
- 127.0.0.22 nai.com
- 127.0.0.22 nai.net
- 127.0.0.22 nai.org
- 127.0.0.22 norman.com
- 127.0.0.22 norman.net
- 127.0.0.22 norman.org
- 127.0.0.22 norton.com
- 127.0.0.22 norton.net
- 127.0.0.22 norton.org
- 127.0.0.22 ontrack.com
- 127.0.0.22 ontrack.net
- 127.0.0.22 ontrack.org
- 127.0.0.22 padinet.com
- 127.0.0.22 padinet.net
- 127.0.0.22 padinet.org
- 127.0.0.22 pandasoftware.com
- 127.0.0.22 pandasoftware.net
- 127.0.0.22 pandasoftware.org
- 127.0.0.22 perantivirus.com
- 127.0.0.22 perantivirus.net
- 127.0.0.22 perantivirus.org
- 127.0.0.22 playboy.com
- 127.0.0.22 playboy.net
- 127.0.0.22 playboy.org
- 127.0.0.22 pornstargals.com
- 127.0.0.22 pornstargals.net
- 127.0.0.22 pornstargals.org
- 127.0.0.22 sands.com
- 127.0.0.22 sands.net
- 127.0.0.22 sands.org
- 127.0.0.22 sarc.com
- 127.0.0.22 sarc.net
- 127.0.0.22 sarc.org
- 127.0.0.22 secunia.com
- 127.0.0.22 secunia.net
- 127.0.0.22 secunia.org
- 127.0.0.22 securityresponse.symantec.com
- 127.0.0.22 securityresponse.symantec.net
- 127.0.0.22 securityresponse.symantec.org
- 127.0.0.22 sex-mission.com
- 127.0.0.22 sex-mission.net
- 127.0.0.22 sex-mission.org
- 127.0.0.22 sophos.com
- 127.0.0.22 sophos.net
- 127.0.0.22 sophos.org
- 127.0.0.22 symantec.com
- 127.0.0.22 symantec.net
- 127.0.0.22 symantec.org
- 127.0.0.22 trendmicro-europe.com
- 127.0.0.22 trendmicro-europe.net
- 127.0.0.22 trendmicro-europe.org
- 127.0.0.22 trendmicro.com
- 127.0.0.22 trendmicro.net
- 127.0.0.22 trendmicro.org
- 127.0.0.22 update.symantec.com
- 127.0.0.22 update.symantec.net
- 127.0.0.22 update.symantec.org
- 127.0.0.22 vaksin.com
- 127.0.0.22 vaksin.net
- 127.0.0.22 vaksin.org
- 127.0.0.22 vil.nai.com
- 127.0.0.22 vil.nai.net
- 127.0.0.22 vil.nai.org
- 127.0.0.22 virustotal.com
- 127.0.0.22 virustotal.net
- 127.0.0.22 virustotal.org
- 127.0.0.22 winantivirus.com
- 127.0.0.22 winantivirus.net
- 127.0.0.22 winantivirus.org
- 127.0.0.22 www.17tahun.com
- 127.0.0.22 www.17tahun.net
- 127.0.0.22 www.17tahun.org
- 127.0.0.22 www.ae.trendmicro-europe.com
- 127.0.0.22 www.ae.trendmicro-europe.net
- 127.0.0.22 www.ae.trendmicro-europe.org
- 127.0.0.22 www.anti-virus.com
- 127.0.0.22 www.anti-virus.net
- 127.0.0.22 www.anti-virus.org
- 127.0.0.22 www.antivirus.com
- 127.0.0.22 www.antivirus.net
- 127.0.0.22 www.antivirus.org
- 127.0.0.22 www.backup.grisoft.com
- 127.0.0.22 www.backup.grisoft.net
- 127.0.0.22 www.backup.grisoft.org
- 127.0.0.22 www.bhs.com
- 127.0.0.22 www.bhs.net
- 127.0.0.22 www.bhs.org
- 127.0.0.22 www.blog.compactbyte.com
- 127.0.0.22 www.blog.compactbyte.net
- 127.0.0.22 www.blog.compactbyte.org
- 127.0.0.22 www.blogs.compactbyte.com
- 127.0.0.22 www.blogs.compactbyte.net
- 127.0.0.22 www.blogs.compactbyte.org
- 127.0.0.22 www.ca.com
- 127.0.0.22 www.ca.net
- 127.0.0.22 www.ca.org
- 127.0.0.22 www.castlecops.com
- 127.0.0.22 www.castlecops.net
- 127.0.0.22 www.castlecops.org
- 127.0.0.22 www.cheyenne.com
- 127.0.0.22 www.cheyenne.net
- 127.0.0.22 www.cheyenne.org
- 127.0.0.22 www.compactbyte.com
- 127.0.0.22 www.compactbyte.net
- 127.0.0.22 www.compactbyte.org
- 127.0.0.22 www.datafellows.com
- 127.0.0.22 www.datafellows.net
- 127.0.0.22 www.datafellows.org
- 127.0.0.22 www.download.mcafee.com
- 127.0.0.22 www.download.mcafee.net
- 127.0.0.22 www.download.mcafee.org
- 127.0.0.22 www.downloads1.kaspersky-labs.com
- 127.0.0.22 www.downloads1.kaspersky-labs.net
- 127.0.0.22 www.downloads1.kaspersky-labs.org
- 127.0.0.22 www.downloads2.kaspersky-labs.com
- 127.0.0.22 www.downloads2.kaspersky-labs.net
- 127.0.0.22 www.downloads2.kaspersky-labs.org
- 127.0.0.22 www.downloads3.kaspersky-labs.com
- 127.0.0.22 www.downloads3.kaspersky-labs.net
- 127.0.0.22 www.downloads3.kaspersky-labs.org
- 127.0.0.22 www.downloads4.kaspersky-labs.com
- 127.0.0.22 www.downloads4.kaspersky-labs.net
- 127.0.0.22 www.downloads4.kaspersky-labs.org
- 127.0.0.22 www.esafe.com
- 127.0.0.22 www.esafe.net
- 127.0.0.22 www.esafe.org
- 127.0.0.22 www.europe.f-secure.com
- 127.0.0.22 www.europe.f-secure.net
- 127.0.0.22 www.europe.f-secure.org
- 127.0.0.22 www.f-secure.com
- 127.0.0.22 www.f-secure.net
- 127.0.0.22 www.f-secure.org
- 127.0.0.22 www.fajarweb.com
- 127.0.0.22 www.fajarweb.net
- 127.0.0.22 www.fajarweb.org
- 127.0.0.22 www.forum.vaksin.com
- 127.0.0.22 www.forum.vaksin.net
- 127.0.0.22 www.forum.vaksin.org
- 127.0.0.22 www.free-av.com
- 127.0.0.22 www.free-av.net
- 127.0.0.22 www.free-av.org
- 127.0.0.22 www.grisoft.com
- 127.0.0.22 www.grisoft.net
- 127.0.0.22 www.grisoft.org
- 127.0.0.22 www.icubed.com
- 127.0.0.22 www.icubed.net
- 127.0.0.22 www.icubed.org
- 127.0.0.22 www.infokomputer.com
- 127.0.0.22 www.infokomputer.net
- 127.0.0.22 www.infokomputer.org
- 127.0.0.22 www.it.trendmicro-europe.com
- 127.0.0.22 www.it.trendmicro-europe.net
- 127.0.0.22 www.it.trendmicro-europe.org
- 127.0.0.22 www.jasakom.com
- 127.0.0.22 www.jasakom.net
- 127.0.0.22 www.jasakom.org
- 127.0.0.22 www.jeruk.padinet.com
- 127.0.0.22 www.jeruk.padinet.net
- 127.0.0.22 www.jeruk.padinet.org
- 127.0.0.22 www.kaskus.com
- 127.0.0.22 www.kaskus.net
- 127.0.0.22 www.kaskus.org
- 127.0.0.22 www.kaspersky-labs.com
- 127.0.0.22 www.kaspersky-labs.net
- 127.0.0.22 www.kaspersky-labs.org
- 127.0.0.22 www.kaspersky.com
- 127.0.0.22 www.kaspersky.net
- 127.0.0.22 www.kaspersky.org
- 127.0.0.22 www.liveupdate.symantec.com
- 127.0.0.22 www.liveupdate.symantec.net
- 127.0.0.22 www.liveupdate.symantec.org
- 127.0.0.22 www.liveupdate.symantecliveupdate.com
- 127.0.0.22 www.liveupdate.symantecliveupdate.net
- 127.0.0.22 www.liveupdate.symantecliveupdate.org
- 127.0.0.22 www.mcafee.com
- 127.0.0.22 www.mcafee.net
- 127.0.0.22 www.mcafee.org
- 127.0.0.22 www.mcafeeb2b.com
- 127.0.0.22 www.mcafeeb2b.net
- 127.0.0.22 www.mcafeeb2b.org
- 127.0.0.22 www.mcafeesecurity.com
- 127.0.0.22 www.mcafeesecurity.net
- 127.0.0.22 www.mcafeesecurity.org
- 127.0.0.22 www.nai.com
- 127.0.0.22 www.nai.net
- 127.0.0.22 www.nai.org
- 127.0.0.22 www.norman.com
- 127.0.0.22 www.norman.net
- 127.0.0.22 www.norman.org
- 127.0.0.22 www.norton.com
- 127.0.0.22 www.norton.net
- 127.0.0.22 www.norton.org
- 127.0.0.22 www.ontrack.com
- 127.0.0.22 www.ontrack.net
- 127.0.0.22 www.ontrack.org
- 127.0.0.22 www.padinet.com
- 127.0.0.22 www.padinet.net
- 127.0.0.22 www.padinet.org
- 127.0.0.22 www.pandasoftware.com
- 127.0.0.22 www.pandasoftware.net
- 127.0.0.22 www.pandasoftware.org
- 127.0.0.22 www.perantivirus.com
- 127.0.0.22 www.perantivirus.net
- 127.0.0.22 www.perantivirus.org
- 127.0.0.22 www.playboy.com
- 127.0.0.22 www.playboy.net
- 127.0.0.22 www.playboy.org
- 127.0.0.22 www.pornstargals.com
- 127.0.0.22 www.pornstargals.net
- 127.0.0.22 www.pornstargals.org
- 127.0.0.22 www.sands.com
- 127.0.0.22 www.sands.net
- 127.0.0.22 www.sands.org
- 127.0.0.22 www.sarc.com
- 127.0.0.22 www.sarc.net
- 127.0.0.22 www.sarc.org
- 127.0.0.22 www.secunia.com
- 127.0.0.22 www.secunia.net
- 127.0.0.22 www.secunia.org
- 127.0.0.22 www.securityresponse.symantec.com
- 127.0.0.22 www.securityresponse.symantec.net
- 127.0.0.22 www.securityresponse.symantec.org
- 127.0.0.22 www.sex-mission.com
- 127.0.0.22 www.sex-mission.net
- 127.0.0.22 www.sex-mission.org
- 127.0.0.22 www.sophos.com
- 127.0.0.22 www.sophos.net
- 127.0.0.22 www.sophos.org
- 127.0.0.22 www.symantec.com
- 127.0.0.22 www.symantec.net
- 127.0.0.22 www.symantec.org
- 127.0.0.22 www.trendmicro-europe.com
- 127.0.0.22 www.trendmicro-europe.net
- 127.0.0.22 www.trendmicro-europe.org
- 127.0.0.22 www.trendmicro.com
- 127.0.0.22 www.trendmicro.net
- 127.0.0.22 www.trendmicro.org
- 127.0.0.22 www.update.symantec.com
- 127.0.0.22 www.update.symantec.net
- 127.0.0.22 www.update.symantec.org
- 127.0.0.22 www.vaksin.com
- 127.0.0.22 www.vaksin.net
- 127.0.0.22 www.vaksin.org
- 127.0.0.22 www.vil.nai.com
- 127.0.0.22 www.vil.nai.net
- 127.0.0.22 www.vil.nai.org
- 127.0.0.22 www.virustotal.com
- 127.0.0.22 www.virustotal.net
- 127.0.0.22 www.virustotal.org
- 127.0.0.22 www.winantivirus.com
- 127.0.0.22 www.winantivirus.net
- 127.0.0.22 www.winantivirus.org
- 127.0.0.22 17tahun.com
- 127.0.0.22 17tahun.net
- 127.0.0.22 17tahun.org
- 127.0.0.22 ae.trendmicro-europe.com
- 127.0.0.22 ae.trendmicro-europe.net
- 127.0.0.22 ae.trendmicro-europe.org
- 127.0.0.22 anti-virus.com
- 127.0.0.22 anti-virus.net
- 127.0.0.22 anti-virus.org
- 127.0.0.22 antivirus.com
- 127.0.0.22 antivirus.net
- 127.0.0.22 antivirus.org
- 127.0.0.22 backup.grisoft.com
- 127.0.0.22 backup.grisoft.net
- 127.0.0.22 backup.grisoft.org
- 127.0.0.22 bhs.com
- 127.0.0.22 bhs.net
- 127.0.0.22 bhs.org
- 127.0.0.22 blog.compactbyte.com
- 127.0.0.22 blog.compactbyte.net
- 127.0.0.22 blog.compactbyte.org
- 127.0.0.22 blogs.compactbyte.com
- 127.0.0.22 blogs.compactbyte.net
- 127.0.0.22 blogs.compactbyte.org
- 127.0.0.22 ca.com
- 127.0.0.22 ca.net
- 127.0.0.22 ca.org
- 127.0.0.22 castlecops.com
- 127.0.0.22 castlecops.net
- 127.0.0.22 castlecops.org
- 127.0.0.22 cheyenne.com
- 127.0.0.22 cheyenne.net
- 127.0.0.22 cheyenne.org
- 127.0.0.22 compactbyte.com
- 127.0.0.22 compactbyte.net
- 127.0.0.22 compactbyte.org
- 127.0.0.22 datafellows.com
- 127.0.0.22 datafellows.net
- 127.0.0.22 datafellows.org
- 127.0.0.22 download.mcafee.com
- 127.0.0.22 download.mcafee.net
- 127.0.0.22 download.mcafee.org
- 127.0.0.22 downloads1.kaspersky-labs.com
- #JowoBot-CrackHost
- #JowoBot-VM Community