Alias

Email-Worm.Win32.Brontok.q (Kaspersky Lab) También conocido como: W32/Rontokbro.gen@MM (NAI),   W32.Rontokbro@mm (NAV),   BackDoor.Generic.1138 (DrWeb),   W32/Korbo-B (Sophos),   WORM_RONTOKBRO.F (PCCIL),   WORM/Brontok.C (H+BEDV),   W32/Brontok.C@mm (FPROT),   Win32:Rontokbr-B (AVAST),   I-Worm/VB.FY (AVG),   Win32.Brontok.C@MM (BitDef7),   Worm.Brontok.E (Clamav),   Win32/Brontok.F (Nod32)

Detección agregada	15 may 2006 16:08 GMT
Actualización lanzada	15 may 2006 17:24 GMT
Descripción agregada	11 oct 2006
Comportamiento	I-Worm

• Detalles técnicos
• Daños

Es un virus-gusano que se propaga por Internet en forma de datos adjuntos a mensajes de correo electrónico. Se envía a sí mismo a todas las direcciones de correo electrónico que encuentre en el ordenador infectado.

Es una aplicación para Windows (Archivo PE EXE). Está escrita en Visual Basic. En esta versión, el tamaño de los archivos infectados varía de forma significativa. A continuación, se describen las funciones de las variantes de este gusano que se encuentran más a menudo.

Instalación

Durante la primera ejecución del archivo infectado, aparece una ventana del Explorador de Windows con la carpeta "Mis Imágenes" abierta.

Al instalarse, el gusano cambia las siguientes llaves del registro del sistema, deshabilitando las herramientas de trabajo con el registro, del símbolo del sistema, las configuración del régimen de representación de los archivos y carpetas en el Explorador de Windows.

Por ejemplo, al lanzarse el redactor del registro, se muestra el siguiente mensaje:

Después, el gusano se apodera del catálogo de aplicaciones de Windows del usuario (%UserProfile%\Local Settings\Application Data) y copia su cuerpo a este catálogo bajo los siguientes nombres:

En este mismo catálogo se crea el archivo de texto Kosong.Bron.Tok.txt de 51 bytes que contiene:

Además, el cuerpo del gusano se copia al catálogo raíz de Windows (%WinDir%) bajo el nombre:

lo mismo en el catálogo ShellNew catálogo de raíz de Windows bajo un nombre generado por medio de la máscara bbm-<caracteres arbitrarios>.exe :

y también en el catálogo del sistema de Windows (%System%) bajo los siguientes nombres:

Además, el gusano se copia al catálogo de autoinicio del Menú Principal de Inicio bajo el nombre de Empty.pif:

en el catálogo de plantillas de documentos:

y en el catálogo "Mis imágenes" del catálogo de documentos del usuario actual:

En este catálogo tambíen se crea un página HTML llamada about.Brontok.A.html:

que al ser visualizada en el navegador muestra el siguiente mensaje:

Esta página es el contenido de los mensajes que el gusano manda a las direcciones de correo electrónico encontradas.

Después, se lleva a cabo la inscripción del autoinicio de las copias del gusano en el sistema:

Además, después de la instalación del gusano den el catálogo del sistema de Windows, se crea el archivo sistem.sys, que contiene la fecha y la hora de la instalación del gusano en el sistema en el siguiente formato: mmddhhmm, dónde mm=mes; dd=día; hh=hora; mm=minutos.

Propagación por correo electrónico

Para encontrar la dirección de las víctimas, analiza las libretas de direcciones de MS Windows.

Además, las direcciones a las que se enviarán los mensajes infectados se recolectan de los archivos con las siguientes extensiones:

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

Todas las direcciones encontradas se guardan en el catálogo %AppData%\Loc.Mail.Bron.Tok en forma de archivos con el nombre de la dirección, con extensión .ini y texto:

También se crea el catálogo Ok-SendMail-Bron-tok, destinado a almacenar las direcciones de los mensajes enviados.

El gusano usa su propia biblioteca SMTP para enviar los mensajes infectados.

Características de las cartas infectadas

Nombre de los datos adjuntos:

El gusano envía sus copias con los siguientes nombre en los datos adjuntos a los mensajes infectados. Se escoge de la siguiente lista:

• ccapps.exe
• jangan dibuka.exe
• kangen.exe
• my heart.exe
• myheart.exe
• syslove.exe
• untukmu.exe
• winword.exe

Texto de la carta:

La página HTML about.Brontok.A.html indicada más arriba contiene el texto del mensaje infectado.

El gusano obtiene el encabezado de la ventana activa y reinicia el sistema en caso de que el encabezado sea cualquiera de la siguiente lista:

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

Además, el gusano modifica el contenido del archivo autoexec.bat en el catálogo raiz del disco C:, agregándole la línea "pause".