Analizzato da: Rhena Inocencio   
 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Worm

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

Modifica archivos para impedir la ejecución correcta de programas y aplicaciones.

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.

  Dettagli tecnici

Dimensione file: 44,453 bytes
Tipo di file: EXE
Data di ricezione campioni iniziali: 06 agosto 2010

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Infiltra los archivos siguientes:

  • %Application Data%\LISTHOST16.TXT
  • %Application Data%\UPDATE.16.BRON.TOK.BIN

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Windows%\SHELLNEW\RAKYATKELAPARAN.EXE
  • %System%\CMD-BRONTOK.EXE
  • %Windows%\KESENJANGANSOSIAL.EXE
  • %Application Data%\br3621on.exe
  • %Application Data%\services.exe
  • %Application Data%\smss.exe
  • %Application Data%\lsass.exe
  • %Application Data%\inetinfo.exe
  • %Application Data%\csrss.exe
  • %Application Data%\winlogon.exe
  • %Start Menu%\Programs\Startup\Empty.pif
  • %User Profile%\TEMPLATES\5424-NENDANGBRO.COM
  • %System%\{USER NAME}'S SETTING.SCR
  • %System%\drivers\etc\HOSTS-DENIED BY-{USER NAME}.COM

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
WIndows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\SHELLNEW\RAKYATKELAPARAN.EXE"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus-1299 = "%Application Data%\br3621on.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Windows%\KESENJANGANSOSIAL.EXE"

Otras modificaciones del sistema

Modifica los archivos siguientes:

  • %System Root%\AUTOEXEC.BAT

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\Explorer
ITBarLayout = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\ShellNoRoam\Bags\
61\Shell
FolderType = "MyDocuments"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(Note: The default value data of the said registry entry is "0".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is "1".)

Propagación

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.