Check the new version here

Popular channels

Brontok El Gusano Que Afecta A Muchos

Saludos soy kelvin security  


Durante gran parte del 2006 se ha estado destacando un gusano descubierto en octubre del 2005. 

Si bien el mismo no presenta demasidas características especiales, que lo puedan hacer parecer 
distinto a cualquier otro, ha sabido permanecer vigente a través del tiempo. 

Esta forma de diferenciarse, de por sí, lo hace especial y es por eso que se ha decidido hacer este 
análisis de la amplia familia del gusano Brontok. 



¿Que Es Brontok Y Quien lo Invento?

Brontok es una familia de gusano y troyano con cientos de variantes e identificados con otros  nombres como Rontokbrom¸Pazetus, Naras, Spansky o Robknot según la casa antivirus. 

Este malware aparentemente fue desarrollado en Indonesia por el grupo “HVM31-JowoBot #VM  Community“ como puede apreciarse en diversas partes del código fuente o en mensajes emitido  por el mismo. 

El objetivo es crear una red de equipos zombies infectados (botnets), que puedan ser controlados  remotamente para los fines que el autor desee. Estos suelen involucrar envío de spam, phishing y 
ataques de DDoS a diversos sitios de Internet. 


MÉTODO DE Infección:

Utiliza el envío de correo masivo como principal forma de propagación. Para recolectar direcciones  de e-mail desde el equipo infectado y se auto-envía utilizando su propio motor SMTP.  


Una vez robadas las direcciones de correo y realizado el envio, al usuario le llega un correo  electrónico con un remitente falso, asunto del mensaje vacio y con un archivo adjunto cuyo nombre  varía según determinadas reglas utilizadas por el gusano. 





Si el usuario ejecuta el archivo adjunto, notará que se abre una ventana con la carpeta “mis  documentos“. Esto es indicativo que el gusano ya está residente en memoria y a tomado el control  absoluto del sistema infectado. 




Síntomas:


Como se mencionó, Brontok realiza gran cantidad de modificaciones en el sistema, lo que lo lleva  a ser identificable por algunos síntomas apreciables, tales como: 


Al ejecutarse por primera vez, se abre la carpeta “Mis documentos“ del sistema infectado.  En realidad reemplaza el enlace por una copia de sí mismo de forma tal que cuando el  usuario hace clic sobre “la carpeta“, el gusano se ejecuta y luego muestra al usuario el  contenido verdadero de dicho directorio. 

Relentización considerable del sistema infectado. Esto se debe a la gran cantidad de  verificaciones que realiza el troyano para evitar su remoción, además de las conexiones a  equipos remotos y a los correos que envía permanentemente. 




Funcionamiento:

Luego de su instalación y la toma de control del equipo infectado, el gusano continúa su  propagación envíandose a sí mismo a todas las direcciones de correo que pueda obtener de los  archivos con extensiones: .csv, .doc, .eml, .html, .php, .txt, .wab  Para no ser detectado por empresas de seguridad evita autoenviarse a direcciones de correo tales  como: 


LASA, TELKOM, INDO,.CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID, 
.WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU 

Además, y para lograr un mayor efecto de engaño en el usuario, el nombre del adjunto cambia en  cada envio pudiendo ser: winword.exe, kangen.exe, ccapps.exe, syslove.exe, untukmu.exe,  myheart.exe, myheart.exe, dibuka.exe .


Con respecto a los archivos creados y modificados por el gusano, algunos de ellos permanecen  constantes en todas las versiones analizadas, pero otros son creados aleatóriamente en cada infección o cambian de acuerdo a la versión. Algunos de los archivos son los siguientes: 




Configuración LocalDatos de programacsrss.exe (archivo del gusano de 45 kb) 
Configuración LocalDatos de programainetinfo.exe (archivo del gusano de 45 kb) 
Configuración LocalDatos de programalsass.exe (archivo del gusano de 45 kb) 
Configuración LocalDatos de programaservices.exe (archivo del gusano de 45 kb) 
Configuración LocalDatos de programasmss.exe (archivo del gusano de 45 kb) 
Configuración LocalDatos de programawinlogon.exe (archivo del gusano de 45 kb) 
Empty.pif (archivo del gusano de 45 kb) 
Plantillas Nombre Aleatorio.exe (archivo del gusano de 45 kb) 
ShellNewNombre Aleatorio.exe (archivo del gusano de 45 kb) 
ShellNewsistem.sys (con la fecha y hora de la primera instalación) 


Por otro lado, el gusano reiniciará el equipo infectado cada vez que se abra una ventana cuyo  título contenga cualquiera de las siguientes cadenas: 


"Admin, Adobe, Ahnlab, Aladdin, Alert, Alwil, Antigen, Apache, Application, Archieve, Asdf, 
Associate, Avast, Avg, Avira, [email protected], Black, Blah, Bleep, Bleeping, Builder, Canon, Center, Cillin, 
Cisco, Cmd, Cnet, Command, Command Prompt, Contoh, Control, Crack, Dark, Data, Database, 
Demo, Detik, Develop, Domain, Download,Esafe, Esave, Escan, Example, Feedback,Firewall, 
[email protected], Fuck, Fujitsu, Gateway, Google, Grisoft, Group, Hack, Hauri, Hidden, Hijack, Hp, Ibm, Info, 
Intel, Killbox, Komputer, Linux, Log Off Windows, Lotus, Macro, Malware, Master, Mcafee, 
Micro,Microsoft, Mozilla, Mysql, Netscape, Network, News, Nod32, Nokia, Norman, Norton, Novell, 
Nvidia, Opera, Overture, Panda, Patch, Postgre, Program, Proland, Prompt, Protect, Proxy, 
Recipient, Registry, Relay, Response, Robot, Scan, Script Host, Search R, Secure, Security, 
Sekur, Senior, Server, Service, Shut Down, Siemens, Smtp, Soft, Some, Sophos, Source, Spam, 
Spersky, Sun, Support, Sybari, Symantec, System Configuration, Task Kill, Taskkill, Test, Trend, 
Trust, Update, Utility, Vaksin, Virus, W3, Windows Security, Www, Xerox, Xxx, Your, Zdnet, Zend, 
Zombie "


Brontok dispone de actualizaciones que se realizan a través de Internet en sitios que varían según  su versión y que son cerrados cada vez que son detectados. Para realizar estas acciones dispone  de una rutina de generación de direcciones web de forma tal de complicar el rastreo por parte de  los especialistas y autoridades. 




Solución: Existen diversos softwares que nos aayudaran borrar este gusano pero el mas aconsejable es :"Malwarebytes Anti-Malware" 


Acá lo puedes descargar:


https://www.malwarebytes.org/mwb-download/
0
0
0
0No comments yet