El gusano
Brontok es un virus informático con características de ataque, gusano y troyano que afecta ordenadores con Windows® y puede ser considerado como una amenaza informática grave ya que su infeccion daña las particiones del HDD y la destruccion de nuestros datos y es de suma importancia tener nuestro antivirus actualizado ya que su infeccion son con fines terroristas.
NOTA:Para mayor informacion de sitios infectados con virus visita mi web
Ver las paginas que tienen virus
Otros nombres para este gusano son:
·
Win32.Sality
·
BackDoor.Generic.11378
·
Worm.Mytob.GH
·
W32.Rontokbro
·
I-Worm.VB.DV
·
BehavesLike.Win32.Malware.bsf
Efectos
· Cuando el virus Brontok se ejecuta por primera vez, se copia a sí mismo en la carpeta de Datos de Programa de los usuarios. Luego se programa a sí mismo en el arranque de Windows, creando una entrada de registro en la clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
·
Se extiende enviándose a sí mismo a direcciones de correo obtenidas del
ordenador afectado.
·
El virus desactiva...:
... el editor del registro (regedit.exe).
... el Administrador de Tareas. Ctrl + Alt + Supr
... el Firewall de Windows.
·
Modifica la configuración del explorador
de archivos, ocultando el menú
"Herramientas / Opciones de Carpeta" de modo que los archivos
'ocultos' y 'de sistema' no sean accesibles por el usuario.
·
Las direcciones tecleadas en el explorador de Windows son borradas antes de
completarse.
·
Usando su propio motor de correo se envía a sí mismo hacia las direcciones que encuentra en la
computadora infectada, falsificando a veces la misma dirección de correo del
usuario como remitente.
·
En muchas variantes del virus, la computadora reinicia cuando:
·
se intenta abrir una ventana de Línea de
Comandos.
·
se trata de acceder a recursos de habituales de administradores de sistema
o de programadores.
·
una ventana contiene en su título ciertas cadenas de caracteres: 'Resource
hacker', 'Datos de programa', 'Symantec', 'Norton', 'Panda', 'Microsoft',
etc...
·
Impide al usuario descargar archivos.
·
Abre ventanas en el navegador predeterminado y carga páginas Web
localizadas en la carpeta "Mis Documentos" y/o sub-carpetas.
·
Crea archivos.exe en carpetas y unidades llamados
como la misma carpeta y usando un icono característico del explorador de
carpetas de Windows.
Detección
Presencia de los archivos:
%WINDIR%\eksplorasi.pif
%UserProfile%\Local
Settings\Application Data\smss.exe
%UserProfile%\Local
Settings\Application Data\services.exe
%UserProfile%\Local
Settings\Application Data\lsass.exe
%UserProfile%\Local
Settings\Application Data\csrss.exe
%UserProfile%\Local
Settings\Application Data\inetinfo.exe
%UserProfile%\Local
Settings\Application Data\winlogon.exe
%UserProfile%\Start
Menu\Programs\Startup\Empty.pif
%UserProfile%\Templates\WowTumpeh.com
%WINDIR%\%CURRENT_USER%'s
Setting.scr
%WINDIR%\ShellNew\bronstab.exe
·
Archivos.exe en carpetas y unidades, llamados
como la misma carpeta.
Eliminación
·
Brontok puede ser eliminado por la gran mayoría de las soluciones antivirus
actualizados aunque hay varias herramientas específicas disponibles:
Curiosidades
El virus Brontok fue desarrollado
en Indonesia.
Contiene un mensaje en indonesia (y un poco de inglés
trunco). Esto dice la traducción:
By: H [REMOVED] Community] -- detened la caída de este país --
Prueba a enviar a los asesinos, contrabandistas, corruptos, jugadores, y
camellos a las Islas
Kambangan.
No al sexo libre, aborto ni prostitución (Irás Al INFIERNO).
Alto a la contaminación, los incendios forestales y la caza furtiva.
¡¡¡DI NO A LAS DROGAS!!! - EL FINAL ESTA CERCA -¿Te crees que eres listo?
Inspirado por: (Spizaetus Cirrhatus) en peligro de extinción.
Brontok.CV. Gusano de Internet y caballo de Troya
Ver las paginas que tienen virus
Nombre: Brontok.CV
Nombre NOD32: Win32/Brontok.CV
Tipo: Gusano de Internet y caballo de Troya
Alias: Brontok.CV, BackDoor.Generic.1138, Email-Worm.Win32.Brontok.q, Generic.Brontok.26CDB61D, I-Worm.Brontok.c, I-Worm/VB.IM, W32.Brontok.Q, W32/Brontok.C@mm, W32/Brontok.CM@mm,
W32/Brontok.H.worm, W32/Rontokbro.gen@MM, W32/Rontokbro@MM, W32/Suspicious_M.gen,
Win32/Brontok.AS@mm, Win32/Brontok.CV, Win32/Robknot!generic, Win32/Robknot.Variant!Worm,
Win32:Brontok-I, Worm.Brontok.c, Worm.Brontok.E, Worm/Brontok.C
Fecha: 18/set/14
Actualizado: 20/set/14
Plataforma: Windows 32-bit
Tamaño: 42,579 bytes
Gusano y caballo de Troya con puerta trasera, que se propaga a través de recursos compartidos de redes, no protegidos y correo electrónico. En algunos casos, puede ocasionar que el sistema infectado funcione erráticamente, con reinicios imprevistos.
Para propagarse por correo electrónico, selecciona direcciones de archivos con las siguientes extensiones, en todas las unidades de disco de la C a la Y:
.asp
.cfm
.csv
.doc
.eml
.html
.php
.txt
.wab
Brontok.CV. Gusano de Internet y caballo de Troya
Ver las paginas que tienen virus
Nombre: Brontok.CV
Nombre NOD32: Win32/Brontok.CV
Tipo: Gusano de Internet y caballo de Troya
Alias: Brontok.CV, BackDoor.Generic.1138, Email-Worm.Win32.Brontok.q, Generic.Brontok.26CDB61D, I-Worm.Brontok.c, I-Worm/VB.IM, W32.Brontok.Q, W32/Brontok.C@mm, W32/Brontok.CM@mm,
W32/Brontok.H.worm, W32/Rontokbro.gen@MM, W32/Rontokbro@MM, W32/Suspicious_M.gen,
Win32/Brontok.AS@mm, Win32/Brontok.CV, Win32/Robknot!generic, Win32/Robknot.Variant!Worm,
Win32:Brontok-I, Worm.Brontok.c, Worm.Brontok.E, Worm/Brontok.C
Fecha: 18/set/14
Actualizado: 20/set/14
Plataforma: Windows 32-bit
Tamaño: 42,579 bytes
Gusano y caballo de Troya con puerta trasera, que se propaga a través de recursos compartidos de redes, no protegidos y correo electrónico. En algunos casos, puede ocasionar que el sistema infectado funcione erráticamente, con reinicios imprevistos.
Para propagarse por correo electrónico, selecciona direcciones de archivos con las siguientes extensiones, en todas las unidades de disco de la C a la Y:
.asp
.cfm
.csv
.doc
.eml
.html
.php
.txt
.wab
Evita aquellas direcciones cuyos nombres contengan cualquiera de las siguientes cadenas de texto en el dominio:
admin
ahnlab
aladdin
alert
alwil
antigen
associate
avast
avira
billing@
builder
cillin
contoh
crack
database
develop
esafe
esave
escan
example
grisoft
hauri
info@
linux
master
microsoft
network
nod32
norman
norton
panda
program
proland
protect
robot
security
source
sybari
symantec
trust
update
vaksin
vaksin
virus
ahnlab
aladdin
alert
alwil
antigen
associate
avast
avira
billing@
builder
cillin
contoh
crack
database
develop
esafe
esave
escan
example
grisoft
hauri
info@
linux
master
microsoft
network
nod32
norman
norton
panda
program
proland
protect
robot
security
source
sybari
symantec
trust
update
vaksin
vaksin
virus
El gusano utiliza su propio motor SMTP(Simple Mail Transfer Protocol)Protocolo para la Transferencia Simple de Correo para enviarse en un mensaje como el siguiente:
De: [remitente falso]
Asunto: [vacío]
Datos adjuntos:
Kangen.exeDe: [remitente falso]
Asunto: [vacío]
Datos adjuntos:
Cuando se ejecuta, en algunos casos puede crear alguna de las siguientes carpetas:
[carpeta de usuario]\Application Data\Bron.tok-[mes]-[día]También puede crear algunos de los siguientes archivos:
[carpeta de usuario]\Local Settings\Application Data\Bron.tok-[mes]-[día]
[carpeta de inicio]\Empty.pifDonde [carpeta de inicio] es una de las siguientes:
[carpeta de usuario]\Local Settings\Application Data\csrss.exe
[carpeta de usuario]\Local Settings\Application Data\inetinfo.exe
[carpeta de usuario]\Local Settings\Application Data\lsass.exe
[carpeta de usuario]\Local Settings\Application Data\services.exe
[carpeta de usuario]\Local Settings\Application Data\smss.exe
[carpeta de usuario]\Local Settings\Application Data\winlogon.exe
[carpeta de usuario]\Start Menu\Programs\Startup\Empty.pif
[carpeta de usuario]\Templates\WowTumpeh.com
c:\eksplorasi.pif
c:\ShellNew\bronstab.exe
c:\windows\Application Data\csrss.exe
c:\windows\Application Data\inetinfo.exe
c:\windows\Application Data\lsass.exe
c:\windows\Application Data\services.exe
c:\windows\Application Data\smss.exe
c:\windows\Application Data\winlogon.exe
c:\windows\eksplorasi.exe
c:\windows\eksplorasi.pif
c:\windows\ShellNew\sempalong.exe
c:\windows\ShellNew\sempalong.exe
c:\windows\system32\[nombre usuario]'s Setting.scr
c:\windows\Templates\WowTumpeh.com
* Windows XP, 2000 (español e inglés)
c:\documents and settings* Windows 95, 98, Me (español e inglés)
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
[Carpeta de usuario] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
* Windows XP, 2000 (español e inglés)
c:\documents and settings\all users\* Windows 95, 98, Me (español e inglés)
c:\documents and settings\[nombre usuario]\
c:\windows\all users\
c:\windows\
c:\windows\profiles\[nombre usuario]\
En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El gusano sobrescribe el contenido de C:\AUTOEXEC.BAT en Windows 95, 98 y Me, con el siguiente comando:
PauseEl gusano sobrescribe el contenido de C:\AUTOEXEC.BAT en Windows 95, 98 y Me, con el siguiente comando:
También crea algunas de las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
.@
@.
.Asp
.Exe
.Htm
.Js
.Php
Admin
Adobe
Ahnlab
Aladdin
Alert
Alwil
Antigen
Apache
Application
Archieve
Asdf
Associate
Avast
Avg
Avira
Billing@
Black
Blah
Bleep
Builder
Canon
Center
Cillin
Cisco
Cmd.
Cnet
Command
Command Prompt
Contoh
Control
Crack
Dark
Data
Database
Demo
Detik
Develop
Domain
Download
Esafe
Esave
Escan
Example
Feedback
Firewall
Foo@
Fuck
Fujitsu
Gateway
Google
Grisoft
Group
Hack
Hauri
Hidden
Hp.
Ibm.
Info@
Intel.
Komputer
Linux
Log Off Windows
Lotus
Macro
Malware
Master
Mcafee
Micro
Microsoft
Mozilla
Mysql
Netscape
Network
News
Nod32
Nokia
Norman
Norton
Novell
Nvidia
Opera
Overture
Panda
Patch
Postgre
Program
Proland
Prompt
Protect
Proxy
Recipient
Registry
Relay
Response
Robot
Scan
Script Host
Search R
Secure
Security
Sekur
Senior
Server
Service
Shut Down
Siemens
Smtp
Soft
Some
Sophos
Source
Spam
Spersky
Sun.
Support
Sybari
Symantec
System Configuration
Test
Trend
Trust
Update
Utility
Vaksin
Virus
W3.
Windows Security.Vbs
Www
Xerox
Xxx
Your
Zdnet
Zend
Zombie
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus = "[carpeta de usuario]\Application Data\smss.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus = "[carpeta de usuario]\Application Data\IDTemplate.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bron-Spizaetus = c:\windows\ShellNew\bronstab.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bron-Spizaetus = "C:\WINDOWS\PIF\CVT.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe c:\windows\eksplorasi.exe"
El gusano también reemplaza los enlaces a carpetas como "Mis documentos", por una copia de si mismo. Cuando el usuario hace clic sobre lo que él cree es la carpeta, el gusano se ejecuta silenciosamente, y luego muestra al usuario el contenido verdadero de dicha carpeta.
También se modifican las siguientes entradas en el registro para deshabilitar herramientas como el propio editor de registro:
También se modifican las siguientes entradas en el registro para deshabilitar herramientas como el propio editor de registro:
HKCU\Software\MicrosoftEl gusano puede reiniciar automáticamente el equipo infectado, cada vez que sea abierta una ventana cuyo título contenga cualquiera de las siguientes cadenas:..
\Windows\CurrentVersion\Policies\System
DisableCMD = "2"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = "1"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = "1"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
Hidden = "0"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = "1"
HKCU\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = "0"
.@
@.
.Asp
.Exe
.Htm
.Js
.Php
Admin
Adobe
Ahnlab
Aladdin
Alert
Alwil
Antigen
Apache
Application
Archieve
Asdf
Associate
Avast
Avg
Avira
Billing@
Black
Blah
Bleep
Builder
Canon
Center
Cillin
Cisco
Cmd.
Cnet
Command
Command Prompt
Contoh
Control
Crack
Dark
Data
Database
Demo
Detik
Develop
Domain
Download
Esafe
Esave
Escan
Example
Feedback
Firewall
Foo@
Fuck
Fujitsu
Gateway
Grisoft
Group
Hack
Hauri
Hidden
Hp.
Ibm.
Info@
Intel.
Komputer
Linux
Log Off Windows
Lotus
Macro
Malware
Master
Mcafee
Micro
Microsoft
Mozilla
Mysql
Netscape
Network
News
Nod32
Nokia
Norman
Norton
Novell
Nvidia
Opera
Overture
Panda
Patch
Postgre
Program
Proland
Prompt
Protect
Proxy
Recipient
Registry
Relay
Response
Robot
Scan
Script Host
Search R
Secure
Security
Sekur
Senior
Server
Service
Shut Down
Siemens
Smtp
Soft
Some
Sophos
Source
Spam
Spersky
Sun.
Support
Sybari
Symantec
System Configuration
Test
Trend
Trust
Update
Utility
Vaksin
Virus
W3.
Windows Security.Vbs
Www
Xerox
Xxx
Your
Zdnet
Zend
Zombie
El componente troyano, puede realizar ataques a determinados sitios.
