Sophos

W32/Brontok-J

Alias
  • W32.Rontokbro@mm
  • Email-Worm.Win32.Brontok.c
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Propagación
  • Mensajes de email
Sistemas operativos vulnerables Windows
Características
  • Se instala en el registro
Protección disponible desde 27 de diciembre de 2005 14:54:39 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Más información

W32/Brontok-J es un gusano de email para Windows.

W32/Brontok-J intenta enviarse a direcciones de email recolectadas a partir del ordenador. También intentará modificar algunos parámetros de configuración de Windows Explorer.

W32/Brontok-J reiniciará el sistema si halla una ventana cuyo título contenga ciertas cadenas, tales como ".EXE". W32/Brontok-J es un gusano de email para Windows.

W32/Brontok-J intenta enviarse a direcciones de email recolectadas a partir del ordenador. También intentará modificar algunos parámetros de configuración de Windows Explorer.

W32/Brontok-J reiniciará el sistema si halla una ventana cuyo título contenga ciertas cadenas, tales como ".EXE".

Al ejecutarse por primera vez, W32/Brontok-J se copia en:

<User>\Local Settings\Application Data\br4941on.exe <User>\Local Settings\Application Data\csrss.exe <User>\Local Settings\Application Data\inetinfo.exe <User>\Local Settings\Application Data\lsass.exe <User>\Local Settings\Application Data\services.exe <User>\Local Settings\Application Data\smss.exe <User>\Local Settings\Application Data\svchost.exe <User>\Start Menu\Startup\Empty.pif <Windows>\KesenjanganSosial.exe <Windows>\ShellNew\RakyatKelaparan.exe <System>\cmd-brontok.exe

W32/Brontok-J descargará varios archivos en la carpeta Mis documentos\Mis imágenes con un mensaje del autor del virus.

Las siguientes entradas en el registro serán creadas para ejecutar br4941on.exe y RakyatKelaparan.exe al inicio del sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run Tok-Cirrhatus-1959 <User>\Local Settings\Application Data\br4941on.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Bron-Spizaetus <Windows>\ShellNew\RakyatKelaparan.exe

La siguiente entrada en el registro será modificada para ejecutar KesenjanganSosial.exe al inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell Explorer.exe "<Windows>\KesenjanganSosial.exe"

(el valor predeterminado para esta entrada del registro es "Explorer.exe", que hace que el archivo de Microsoft <Windows>\Explorer.exe se ejecute al inicio del sistema).

Se creará la siguiente entrada en el registro y desactivará el editor del registro (regedit):

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools 1

Las entradas en el registro serán creadas de la siguiente manera:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoFolderOptions 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableCMD 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt 1

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced ShowSuperHidden 0

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes