Bueno aca les dejo una info acerca del virus brontok q es muuy molesto y puede causar algunos daños a la PC
Alias
Email-Worm.Win32.Brontok.q (Kaspersky Lab) También conocido como: W32/Rontokbro.gen@MM (NAI), W32.Rontokbro@mm (NAV), BackDoor.Generic.1138 (DrWeb), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (PCCIL), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FPROT), Win32:Rontokbr-B (AVAST), I-Worm/VB.FY (AVG), Win32.Brontok.C@MM (BitDef7), Worm.Brontok.E (Clamav), Win32/Brontok.F (Nod32)
Detalles técnicos
Es un virus-gusano que se propaga por Internet en forma de datos adjuntos a mensajes de correo electrónico. Se envía a sí mismo a todas las direcciones de correo electrónico que encuentre en el ordenador infectado.
Es una aplicación para Windows (Archivo PE EXE). Está escrita en Visual Basic. En esta versión, el tamaño de los archivos infectados varía de forma significativa. A continuación, se describen las funciones de las variantes de este gusano que se encuentran más a menudo.
Instalación
Durante la primera ejecución del archivo infectado, aparece una ventana del Explorador de Windows con la carpeta "Mis Imágenes" abierta.
Al instalarse, el gusano cambia las siguientes llaves del registro del sistema, deshabilitando las herramientas de trabajo con el registro, del símbolo del sistema, las configuración del régimen de representación de los archivos y carpetas en el Explorador de Windows.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
Por ejemplo, al lanzarse el redactor del registro, se muestra el siguiente mensaje:
Después, el gusano se apodera del catálogo de aplicaciones de Windows del usuario (%UserProfile%\Local Settings\Application Data) y copia su cuerpo a este catálogo bajo los siguientes nombres:
%UserProfile%\Local Settings\Application Data\br<número arbitrario>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
En este mismo catálogo se crea el archivo de texto Kosong.Bron.Tok.txt de 51 bytes que contiene:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
Además, el cuerpo del gusano se copia al catálogo raíz de Windows (%WinDir%) bajo el nombre:
%WinDir%\sembako-<caracteres arbitrarios>.exe
lo mismo en el catálogo ShellNew catálogo de raíz de Windows bajo un nombre generado por medio de la máscara bbm-<caracteres arbitrarios>.exe :
%WinDir%\ShellNew\bbm-<caracteres arbitrarios>.exe
y también en el catálogo del sistema de Windows (%System%) bajo los siguientes nombres:
%System%\DXBLBO.exe
%System%\cmd-bro-<caracteres arbitrarios>.exe
%System%\%UserName%'s Setting.scr
Además, el gusano se copia al catálogo de autoinicio del Menú Principal de Inicio bajo el nombre de Empty.pif:
%UserProfile%\%Autorun%\Empty.pif
en el catálogo de plantillas de documentos:
%UserProfile%\Plantillas\<número arbitrario>-NendangBro.com
y en el catálogo "Mis imágenes" del catálogo de documentos del usuario actual:
%MisImágenes%\Mis imágenes.exe
En este catálogo tambíen se crea un página HTML llamada about.Brontok.A.html:
Home / Virus / Enciclopedia de virus
Email-Worm.Win32.Brontok.q
Alias
Email-Worm.Win32.Brontok.q (Kaspersky Lab) También conocido como: W32/Rontokbro.gen@MM (NAI), W32.Rontokbro@mm (NAV), BackDoor.Generic.1138 (DrWeb), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (PCCIL), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FPROT), Win32:Rontokbr-B (AVAST), I-Worm/VB.FY (AVG), Win32.Brontok.C@MM (BitDef7), Worm.Brontok.E (Clamav), Win32/Brontok.F (Nod32) Detección agregada 15 may 2006 15:08 GMT
Actualización lanzada 15 may 2006 16:24 GMT
Descripción agregada 11 oct 2006
Comportamiento I-Worm
Detalles técnicos
Daños
Detalles técnicos
Es un virus-gusano que se propaga por Internet en forma de datos adjuntos a mensajes de correo electrónico. Se envía a sí mismo a todas las direcciones de correo electrónico que encuentre en el ordenador infectado.
Es una aplicación para Windows (Archivo PE EXE). Está escrita en Visual Basic. En esta versión, el tamaño de los archivos infectados varía de forma significativa. A continuación, se describen las funciones de las variantes de este gusano que se encuentran más a menudo.
Instalación
Durante la primera ejecución del archivo infectado, aparece una ventana del Explorador de Windows con la carpeta "Mis Imágenes" abierta.
Al instalarse, el gusano cambia las siguientes llaves del registro del sistema, deshabilitando las herramientas de trabajo con el registro, del símbolo del sistema, las configuración del régimen de representación de los archivos y carpetas en el Explorador de Windows.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
Por ejemplo, al lanzarse el redactor del registro, se muestra el siguiente mensaje:
Después, el gusano se apodera del catálogo de aplicaciones de Windows del usuario (%UserProfile%\Local Settings\Application Data) y copia su cuerpo a este catálogo bajo los siguientes nombres:
%UserProfile%\Local Settings\Application Data\br<número arbitrario>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
En este mismo catálogo se crea el archivo de texto Kosong.Bron.Tok.txt de 51 bytes que contiene:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
Además, el cuerpo del gusano se copia al catálogo raíz de Windows (%WinDir%) bajo el nombre:
%WinDir%\sembako-<caracteres arbitrarios>.exe
lo mismo en el catálogo ShellNew catálogo de raíz de Windows bajo un nombre generado por medio de la máscara bbm-<caracteres arbitrarios>.exe :
%WinDir%\ShellNew\bbm-<caracteres arbitrarios>.exe
y también en el catálogo del sistema de Windows (%System%) bajo los siguientes nombres:
%System%\DXBLBO.exe
%System%\cmd-bro-<caracteres arbitrarios>.exe
%System%\%UserName%'s Setting.scr
Además, el gusano se copia al catálogo de autoinicio del Menú Principal de Inicio bajo el nombre de Empty.pif:
%UserProfile%\%Autorun%\Empty.pif
en el catálogo de plantillas de documentos:
%UserProfile%\Plantillas\<número arbitrario>-NendangBro.com
y en el catálogo "Mis imágenes" del catálogo de documentos del usuario actual:
%MisImágenes%\Mis imágenes.exe
En este catálogo tambíen se crea un página HTML llamada about.Brontok.A.html:
que al ser visualizada en el navegador muestra el siguiente mensaje:
Esta página es el contenido de los mensajes que el gusano manda a las direcciones de correo electrónico encontradas.
Después, se lleva a cabo la inscripción del autoinicio de las copias del gusano en el sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=""
"Bron-Spizaetus-<caracteres arbitrarios>"="%WinDir%\ShellNew\bbm-<caracteres arbitrarios>.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=""
"Tok-Cirrhatus-<número arbitrario>"="%UserProfile%\Local Settings\Application Data\br<número arbitrario>on .exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\sembako-<caracteres arbitrarios>.exe""
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd-bro-<caracteres arbitrarios>.exe"
Además, después de la instalación del gusano den el catálogo del sistema de Windows, se crea el archivo sistem.sys, que contiene la fecha y la hora de la instalación del gusano en el sistema en el siguiente formato: mmddhhmm, dónde mm=mes; dd=día; hh=hora; mm=minutos.
Propagación por correo electrónico
Para encontrar la dirección de las víctimas, analiza las libretas de direcciones de MS Windows.
Además, las direcciones a las que se enviarán los mensajes infectados se recolectan de los archivos con las siguientes extensiones:
ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB
Todas las direcciones encontradas se guardan en el catálogo %AppData%\Loc.Mail.Bron.Tok en forma de archivos con el nombre de la dirección, con extensión .ini y texto:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
También se crea el catálogo Ok-SendMail-Bron-tok, destinado a almacenar las direcciones de los mensajes enviados.
El gusano usa su propia biblioteca SMTP para enviar los mensajes infectados.
Características de las cartas infectadas
Nombre de los datos adjuntos:
El gusano envía sus copias con los siguientes nombre en los datos adjuntos a los mensajes infectados. Se escoge de la siguiente lista:
ccapps.exe
jangan dibuka.exe
kangen.exe
my heart.exe
myheart.exe
syslove.exe
untukmu.exe
winword.exe
Texto de la carta:
La página HTML about.Brontok.A.html indicada más arriba contiene el texto del mensaje infectado.
Daños
El gusano obtiene el encabezado de la ventana activa y reinicia el sistema en caso de que el encabezado sea cualquiera de la siguiente lista:
..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE
Además, el gusano modifica el contenido del archivo autoexec.bat en el catálogo raiz del disco C:, agregándole la línea "pause".