Brontok
El gusano Brontok es un virus informático con características de ataque, gusano y troyano que afecta ordenadores con Windows® y puede ser considerado como una amenaza informática grave si no se dispone de protección antivirus.
Otros nombres
Otros nombres para este gusano son:
- Win32.Sality
- BackDoor.Generic.11378
- Worm.Mytob.GH
- W32.Rontokbro
- I-Worm.VB.DV
- BehavesLike.Win32.Malware.bsf
Efectos
- Cuando el virus Brontok se ejecuta por primera vez, se copia a sí mismo en la carpeta de Datos de Programa de los usuarios. Luego se programa a sí mismo en el arranque de Windows, creando una entrada de registro en la clave:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run.
- Se extiende enviándose a sí mismo a direcciones de correo obtenidas del ordenador afectado.
- El virus desactiva...:
- ... el editor del registro (regedit.exe).
- ... el Administrador de Tareas. Ctrl + Alt + Supr
- ... el Firewall de Windows.
- Modifica la configuración del explorador de archivos, ocultando el menú "Herramientas / Opciones de Carpeta" de modo que los archivos 'ocultos' y 'de sistema' no sean accesibles por el usuario.
- Las direcciones tecleadas en el explorador de Windows son borradas antes de completarse.
- Usando su propio motor de correo se envía a sí mismo hacia las direcciones que encuentra en la computadora infectada, falsificando a veces la misma dirección de correo del usuario como remitente.
- En muchas variantes del virus, la computadora reinicia cuando:
- ... se intenta abrir una ventana de Línea de Comandos.
- ... se trata de acceder a recursos de habituales de administradores de sistema o de programadores.
- ... una ventana contiene en su título ciertas cadenas de caracteres: 'Resource hacker', 'Datos de programa', 'Symantec', 'Norton', 'Panda', 'Microsoft', etc...
- Impide al usuario descargar archivos.
- Abre ventanas en el navegador predeterminado y carga páginas Web localizadas en la carpeta "Mis Documentos" y/o sub-carpetas.
- Crea archivos.exe en carpetas y unidades llamados como la misma carpeta y usando un icono característico del explorador de carpetas de Windows.
- Lleva a cabo un ataque ping flood a dos sitios web: Gobierno de Israel y Playboy.
Detección
- Presencia de los archivos:
- %WINDIR%\eksplorasi.pif
- %UserProfile%\Local Settings\Application Data\smss.exe
- %UserProfile%\Local Settings\Application Data\services.exe
- %UserProfile%\Local Settings\Application Data\lsass.exe
- %UserProfile%\Local Settings\Application Data\csrss.exe
- %UserProfile%\Local Settings\Application Data\inetinfo.exe
- %UserProfile%\Local Settings\Application Data\winlogon.exe
- %UserProfile%\Start Menu\Programs\Startup\Empty.pif
- %UserProfile%\Templates\WowTumpeh.com
- %WINDIR%\%CURRENT_USER%'s Setting.scr
- %WINDIR%\ShellNew\bronstab.exe
- Archivos.exe en carpetas y unidades, llamados como la misma carpeta.
Eliminación
Brontok puede ser eliminado por la gran mayoría de las soluciones antivirus actualizados aunque hay varias herramientas específicas disponibles:
Curiosidades
El virus Brontok fue desarrollado en Indonesia.
Contiene un mensaje en indonesio (y un poco de inglés trunco). Esto dice la traducción:
By: H [REMOVED] Community] -- detened la caída de este país -- Prueba a enviar a los asesinos, contrabandistas, corruptos, jugadores, y camellos a las Islas Kambangan. No al sexo libre, aborto ni prostitución (Irás Al INFIERNO). Alto a la contaminación, los incendios forestales y la caza furtiva. ¡¡¡DI NO A LAS DROGAS!!! - EL FINAL ESTA CERCA - ¿Te crees que eres listo? Inspirado por: (Spizaetus Cirrhatus) en peligro de extinción.