Para propagarse por correo electrónico, selecciona direcciones de archivos con las siguientes extensiones:
.asp
.cfm
.csv
.doc
.eml
.html
.php
.txt
.wab
Evita aquellas direcciones cuyos nombres contengan cualquiera de las siguientes cadenas de texto:
.ac.id
.co.id
.go.id
.mil.id
.net.id
.or.id
.sch.id
.war.net.id
.web.id
astaga
boleh
emailku
gaul
indo
plasa
satu
telkom
Utiliza su propio motor SMTP para enviarse en un mensaje como el siguiente:
De: [uno de los siguientes remitentes falsos]
Berita_???@kafegaul.com
GaulNews_???@kafegaul.com
Movie_???@playboy.com
HotNews_???@playboy.com
Donde "???" son caracteres variables.
Asunto: [vacío]
Texto del mensaje:
BRONTOK.A [ By: Hacker Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi,
& Bandar NARKOBA ( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan
& perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus)
yang hampir punah[ By: Hacker Community ]--
Datos adjuntos:
Kangen.exe
En algunos casos puede crear la siguiente carpeta:
[carpeta de usuario]\Application Data\Bron.tok-24
También puede crear algunos de los siguientes archivos:
[carpeta de inicio]\Empty.pif
[carpeta de usuario]\Application Data\csrss.exe
[carpeta de usuario]\Application Data\IDTemplate.exe
[carpeta de usuario]\Application Data\inetinfo.exe
[carpeta de usuario]\Application Data\lsass.exe
[carpeta de usuario]\Application Data\services.exe
[carpeta de usuario]\Application Data\smss.exe
[carpeta de usuario]\Application Data\winlogon.exe
[usuario]\Plantillas\WowTumpeh.com
[usuario]\Templates\WowTumpeh.com
c:\windows\BerasJatah.exe
C:\Windows\PIF\CVT.exe
c:\windows\ShellNew\sempalong.exe
c:\windows\system32\[nombre de usuario]"s Setting.scr
c:\windows\system32\3D Animation.scr
Donde [carpeta de inicio] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings
\all users\menú inicio\programas\inicio
c:\documents and settings
\all users\start menu\programs\startup
c:\documents and settings
\[nombre usuario]\menú inicio\programas\inicio
c:\documents and settings
\[nombre usuario]\start menu\programs\startup
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\menú inicio\programas\inicio
c:\windows\all users\start menu\programs\startup
c:\windows\menú inicio\programas\inicio
c:\windows\start menu\programs\startup
c:\windows\profiles\[nombre usuario]
\menú inicio\programas\inicio
c:\windows\profiles\[nombre usuario]
\start menu\programs\startup
[Carpeta de usuario] es una de las siguientes:
* Windows XP, 2000 (español e inglés)
c:\documents and settings\all users\
c:\documents and settings\[nombre usuario]\
* Windows 95, 98, Me (español e inglés)
c:\windows\all users\
c:\windows\
c:\windows\profiles\[nombre usuario]\
El gusano sobrescribe el contenido de C:\AUTOEXEC.BAT en Windows 95, 98 y Me, con el siguiente comando:
pause
También crea algunas de las siguientes entradas en el registro para autoejecutarse en cada reinicio del sistema:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Tok-Cirrhatus =
[carpeta de usuario]\Application Data\smss.exe
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
Tok-Cirrhatus =
[carpeta de usuario]\Application Data\IDTemplate.exe"
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Bron-Spizaetus = c:\windows\ShellNew\sempalong.exe
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run
Bron-Spizaetus = C:\WINDOWS\PIF\CVT.exe
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = Explorer.exe c:\windows\BerasJatah.exe
También reemplaza los enlaces a carpetas como "Mis documentos", por una copia de si mismo. Cuando el usuario hace clic sobre lo que él cree es la carpeta, el gusano se ejecuta silenciosamente, y luego muestra al usuario el contenido verdadero de dicha carpeta.
También se modifican las siguientes entradas en el registro para deshabilitar herramientas como el propio editor de registro:
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableCMD = 2
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1
HKCU\Software\Microsoft
\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = 1
HKCU\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
HKCU\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
HKCU\Software\Microsoft
\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
El gusano puede reiniciar el equipo infectado, cada vez que sea abierta una ventana cuyo título contenga cualquiera de las siguientes cadenas:
..
.@
.Asp
.Exe
.Htm
.Js
.Php
@.
Admin
Adobe
Ahnlab
Aladdin
Alert
Alwil
Antigen
Apache
Application
Archieve
Asdf
Associate
Avast
Avg
Avira
Billing@
Black
Blah
Bleep
Bleeping
Builder
Canon
Center
Cillin
Cisco
Cmd.
Cnet
Command
Command Prompt
Contoh
Control
Crack
Dark
Data
Database
Demo
Detik
Develop
Domain
Download
Esafe
Esave
Escan
Example
Feedback
Firewall
Foo@
Fuck
Fujitsu
Gateway
Google
Grisoft
Group
Hack
Hauri
Hidden
Hijack
Hp.
Ibm.
Info@
Intel.
Killbox
Komputer
Linux
Log Off Windows
Lotus
Macro
Malware
Master
Mcafee
Micro
Microsoft
Mozilla
Mysql
Netscape
Network
News
Nod32
Nokia
Norman
Norton
Novell
Nvidia
Opera
Overture
Panda
Patch
Postgre
Program
Proland
Prompt
Protect
Proxy
Recipient
Registry
Relay
Response
Robot
Scan
Script Host
Search R
Secure
Security
Sekur
Senior
Server
Service
Shut Down
Siemens
Smtp
Soft
Some
Sophos
Source
Spam
Spersky
Sun.
Support
Sybari
Symantec
System Configuration
Task Kill
Taskkill
Test
Trend
Trust
Update
Utility
Vaksin
Virus
W3.
Windows Security.Vbs
Www
Xerox
Xxx
Your
Zdnet
Zend
Zombie
El troyano puede realizar ataques a los siguientes sitios:
israel.gov.il
playboy.com
También puede agregar una tarea programada para ejecutar el siguiente archivo, todos los días a las 17:08, hora del equipo infectado:
[usuario]\Templates\A.kotnorB.com
|
