Saludos soy kelvin security 
Durante gran parte del 2006 se ha estado destacando un gusano descubierto en octubre del 2005.
Si bien el mismo no presenta demasidas características especiales, que lo puedan hacer parecer
distinto a cualquier otro, ha sabido permanecer vigente a través del tiempo.
Esta forma de diferenciarse, de por sí, lo hace especial y es por eso que se ha decidido hacer este
análisis de la amplia familia del gusano Brontok.
¿Que Es Brontok Y Quien lo Invento?
Brontok es una familia de gusano y troyano con cientos de variantes e identificados con otros nombres como Rontokbrom¸Pazetus, Naras, Spansky o Robknot según la casa antivirus.
Este malware aparentemente fue desarrollado en Indonesia por el grupo “HVM31-JowoBot #VM Community“ como puede apreciarse en diversas partes del código fuente o en mensajes emitido por el mismo.
El objetivo es crear una red de equipos zombies infectados (botnets), que puedan ser controlados remotamente para los fines que el autor desee. Estos suelen involucrar envío de spam, phishing y
ataques de DDoS a diversos sitios de Internet.
MÉTODO DE Infección:
Utiliza el envío de correo masivo como principal forma de propagación. Para recolectar direcciones de e-mail desde el equipo infectado y se auto-envía utilizando su propio motor SMTP.
Una vez robadas las direcciones de correo y realizado el envio, al usuario le llega un correo electrónico con un remitente falso, asunto del mensaje vacio y con un archivo adjunto cuyo nombre varía según determinadas reglas utilizadas por el gusano.
Si el usuario ejecuta el archivo adjunto, notará que se abre una ventana con la carpeta “mis documentos“. Esto es indicativo que el gusano ya está residente en memoria y a tomado el control absoluto del sistema infectado.
Síntomas:
Como se mencionó, Brontok realiza gran cantidad de modificaciones en el sistema, lo que lo lleva a ser identificable por algunos síntomas apreciables, tales como:
• Al ejecutarse por primera vez, se abre la carpeta “Mis documentos“ del sistema infectado. En realidad reemplaza el enlace por una copia de sí mismo de forma tal que cuando el usuario hace clic sobre “la carpeta“, el gusano se ejecuta y luego muestra al usuario el contenido verdadero de dicho directorio.
• Relentización considerable del sistema infectado. Esto se debe a la gran cantidad de verificaciones que realiza el troyano para evitar su remoción, además de las conexiones a equipos remotos y a los correos que envía permanentemente.
Funcionamiento:
Luego de su instalación y la toma de control del equipo infectado, el gusano continúa su propagación envíandose a sí mismo a todas las direcciones de correo que pueda obtener de los archivos con extensiones: .csv, .doc, .eml, .html, .php, .txt, .wab Para no ser detectado por empresas de seguridad evita autoenviarse a direcciones de correo tales como:
LASA, TELKOM, INDO,.CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID,
.WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU
Además, y para lograr un mayor efecto de engaño en el usuario, el nombre del adjunto cambia en cada envio pudiendo ser: winword.exe, kangen.exe, ccapps.exe, syslove.exe, untukmu.exe, myheart.exe, myheart.exe, dibuka.exe .
Con respecto a los archivos creados y modificados por el gusano, algunos de ellos permanecen constantes en todas las versiones analizadas, pero otros son creados aleatóriamente en cada infección o cambian de acuerdo a la versión. Algunos de los archivos son los siguientes:
Configuración LocalDatos de programacsrss.exe (archivo del gusano de 45 kb)
Configuración LocalDatos de programainetinfo.exe (archivo del gusano de 45 kb)
Configuración LocalDatos de programalsass.exe (archivo del gusano de 45 kb)
Configuración LocalDatos de programaservices.exe (archivo del gusano de 45 kb)
Configuración LocalDatos de programasmss.exe (archivo del gusano de 45 kb)
Configuración LocalDatos de programawinlogon.exe (archivo del gusano de 45 kb)
Empty.pif (archivo del gusano de 45 kb)
Plantillas Nombre Aleatorio.exe (archivo del gusano de 45 kb)
ShellNewNombre Aleatorio.exe (archivo del gusano de 45 kb)
ShellNewsistem.sys (con la fecha y hora de la primera instalación)
Por otro lado, el gusano reiniciará el equipo infectado cada vez que se abra una ventana cuyo título contenga cualquiera de las siguientes cadenas:
"Admin, Adobe, Ahnlab, Aladdin, Alert, Alwil, Antigen, Apache, Application, Archieve, Asdf,
Associate, Avast, Avg, Avira, [email protected], Black, Blah, Bleep, Bleeping, Builder, Canon, Center, Cillin,
Cisco, Cmd, Cnet, Command, Command Prompt, Contoh, Control, Crack, Dark, Data, Database,
Demo, Detik, Develop, Domain, Download,Esafe, Esave, Escan, Example, Feedback,Firewall,
[email protected], Fuck, Fujitsu, Gateway, Google, Grisoft, Group, Hack, Hauri, Hidden, Hijack, Hp, Ibm, Info,
Intel, Killbox, Komputer, Linux, Log Off Windows, Lotus, Macro, Malware, Master, Mcafee,
Micro,Microsoft, Mozilla, Mysql, Netscape, Network, News, Nod32, Nokia, Norman, Norton, Novell,
Nvidia, Opera, Overture, Panda, Patch, Postgre, Program, Proland, Prompt, Protect, Proxy,
Recipient, Registry, Relay, Response, Robot, Scan, Script Host, Search R, Secure, Security,
Sekur, Senior, Server, Service, Shut Down, Siemens, Smtp, Soft, Some, Sophos, Source, Spam,
Spersky, Sun, Support, Sybari, Symantec, System Configuration, Task Kill, Taskkill, Test, Trend,
Trust, Update, Utility, Vaksin, Virus, W3, Windows Security, Www, Xerox, Xxx, Your, Zdnet, Zend,
Zombie "
Brontok dispone de actualizaciones que se realizan a través de Internet en sitios que varían según su versión y que son cerrados cada vez que son detectados. Para realizar estas acciones dispone de una rutina de generación de direcciones web de forma tal de complicar el rastreo por parte de los especialistas y autoridades.
Solución: Existen diversos softwares que nos aayudaran borrar este gusano pero el mas aconsejable es :"Malwarebytes Anti-Malware"
Acá lo puedes descargar:
https://www.malwarebytes.org/mwb-download/
Durante gran parte del 2006 se ha estado destacando un gusano descubierto en octubre del 2005.
Si bien el mismo no presenta demasidas características especiales, que lo puedan hacer parecer
distinto a cualquier otro, ha sabido permanecer vigente a través del tiempo.
Esta forma de diferenciarse, de por sí, lo hace especial y es por eso que se ha decidido hacer este
análisis de la amplia familia del gusano Brontok.
¿Que Es Brontok Y Quien lo Invento?
Brontok es una familia de gusano y troyano con cientos de variantes e identificados con otros nombres como Rontokbrom¸Pazetus, Naras, Spansky o Robknot según la casa antivirus.
Este malware aparentemente fue desarrollado en Indonesia por el grupo “HVM31-JowoBot #VM Community“ como puede apreciarse en diversas partes del código fuente o en mensajes emitido por el mismo.
El objetivo es crear una red de equipos zombies infectados (botnets), que puedan ser controlados remotamente para los fines que el autor desee. Estos suelen involucrar envío de spam, phishing y
ataques de DDoS a diversos sitios de Internet.
MÉTODO DE Infección:
Utiliza el envío de correo masivo como principal forma de propagación. Para recolectar direcciones de e-mail desde el equipo infectado y se auto-envía utilizando su propio motor SMTP.
Una vez robadas las direcciones de correo y realizado el envio, al usuario le llega un correo electrónico con un remitente falso, asunto del mensaje vacio y con un archivo adjunto cuyo nombre varía según determinadas reglas utilizadas por el gusano.
Si el usuario ejecuta el archivo adjunto, notará que se abre una ventana con la carpeta “mis documentos“. Esto es indicativo que el gusano ya está residente en memoria y a tomado el control absoluto del sistema infectado.
Síntomas:
Como se mencionó, Brontok realiza gran cantidad de modificaciones en el sistema, lo que lo lleva a ser identificable por algunos síntomas apreciables, tales como:
• Al ejecutarse por primera vez, se abre la carpeta “Mis documentos“ del sistema infectado. En realidad reemplaza el enlace por una copia de sí mismo de forma tal que cuando el usuario hace clic sobre “la carpeta“, el gusano se ejecuta y luego muestra al usuario el contenido verdadero de dicho directorio.
• Relentización considerable del sistema infectado. Esto se debe a la gran cantidad de verificaciones que realiza el troyano para evitar su remoción, además de las conexiones a equipos remotos y a los correos que envía permanentemente.
Funcionamiento:
Luego de su instalación y la toma de control del equipo infectado, el gusano continúa su propagación envíandose a sí mismo a todas las direcciones de correo que pueda obtener de los archivos con extensiones: .csv, .doc, .eml, .html, .php, .txt, .wab Para no ser detectado por empresas de seguridad evita autoenviarse a direcciones de correo tales como:
LASA, TELKOM, INDO,.CO.ID, .GO.ID, .MIL.ID, .SCH.ID, .NET.ID, .OR.ID, .AC.ID, .WEB.ID,
.WAR.NET.ID, ASTAGA, GAUL, BOLEH, EMAILKU, SATU
Además, y para lograr un mayor efecto de engaño en el usuario, el nombre del adjunto cambia en cada envio pudiendo ser: winword.exe, kangen.exe, ccapps.exe, syslove.exe, untukmu.exe, myheart.exe, myheart.exe, dibuka.exe .
Con respecto a los archivos creados y modificados por el gusano, algunos de ellos permanecen constantes en todas las versiones analizadas, pero otros son creados aleatóriamente en cada infección o cambian de acuerdo a la versión. Algunos de los archivos son los siguientes:
Por otro lado, el gusano reiniciará el equipo infectado cada vez que se abra una ventana cuyo título contenga cualquiera de las siguientes cadenas:
"Admin, Adobe, Ahnlab, Aladdin, Alert, Alwil, Antigen, Apache, Application, Archieve, Asdf,
Associate, Avast, Avg, Avira, [email protected], Black, Blah, Bleep, Bleeping, Builder, Canon, Center, Cillin,
Cisco, Cmd, Cnet, Command, Command Prompt, Contoh, Control, Crack, Dark, Data, Database,
Demo, Detik, Develop, Domain, Download,Esafe, Esave, Escan, Example, Feedback,Firewall,
[email protected], Fuck, Fujitsu, Gateway, Google, Grisoft, Group, Hack, Hauri, Hidden, Hijack, Hp, Ibm, Info,
Intel, Killbox, Komputer, Linux, Log Off Windows, Lotus, Macro, Malware, Master, Mcafee,
Micro,Microsoft, Mozilla, Mysql, Netscape, Network, News, Nod32, Nokia, Norman, Norton, Novell,
Nvidia, Opera, Overture, Panda, Patch, Postgre, Program, Proland, Prompt, Protect, Proxy,
Recipient, Registry, Relay, Response, Robot, Scan, Script Host, Search R, Secure, Security,
Sekur, Senior, Server, Service, Shut Down, Siemens, Smtp, Soft, Some, Sophos, Source, Spam,
Spersky, Sun, Support, Sybari, Symantec, System Configuration, Task Kill, Taskkill, Test, Trend,
Trust, Update, Utility, Vaksin, Virus, W3, Windows Security, Www, Xerox, Xxx, Your, Zdnet, Zend,
Zombie "
Brontok dispone de actualizaciones que se realizan a través de Internet en sitios que varían según su versión y que son cerrados cada vez que son detectados. Para realizar estas acciones dispone de una rutina de generación de direcciones web de forma tal de complicar el rastreo por parte de los especialistas y autoridades.
Solución: Existen diversos softwares que nos aayudaran borrar este gusano pero el mas aconsejable es :"Malwarebytes Anti-Malware"
Acá lo puedes descargar:
https://www.malwarebytes.org/mwb-download/