VIRUS "BRONKOT.A" AYUDA UNGENTE!!!! (SOLUCIONADO)

[troyana]

HOLA A TODOS, SOY NUEVA EN EL FORO. MI PROBLEMA ES EL SIGUIENTE: TENGO UN VIRUS LLAMADO BRONKOT.A

ME SALE UNA PAGINA EN VERDE CON LETRAS EN AMARILLO Y ROJO EN UN IDIOMA RARO. ME ACABO DE COMPRAR EL PORTATIL HACE POCO, Y NO ME DIO NI TIEMPO DE INSTALARLE UN ANTIVIRUS. DEBIDO A ESTE VIRUS, CUANDO INTENTO BAJARME ALGO NO ME LO PERMITE, SE ME REINICIA EL ORDENADOR. ME HAN RECOMENDADO QUE ME BAJE EL NOD23 ANTIVIRUS SYSTEM, Q ES MUY BUENO, PERO EL MALDITO VIRUS NO ME PERMITE DESCARGAR NADA!!!! :cry:

POR FAVOR SI ME PODEIS DAR UNA SOLUCION, OS LO AGRADECERIA, ESTOY DESESPERADA. :cry: :cry: :cry:

[mikmatcr]

Este virus practicamente toso los antivirus ya lo detectan, creo que el Elitrip es el que detecta esto(ojo que digo que creo, no estoy seguro). :roll:



Lo que hace es que como tu dices, cada vez que intentes descargar o ver algo referente a internet se te reiniciara la pc. :twisted:



Haz lo siguiente, descarga desde otra pc un antivirus gratuito(pues si estas descargando NOD32 siginifica que estas contribuyendo a la pirateria y aqui no se permite), podria ser el Avira o el Avast, además descargate sus actulizaciones, cada uno desde su página oficial puedes descargarlas.



Cuando instales el antivirus y lo actualices, escanea totalmente tu pc en modo a prueba de fallos, sino sabes como hacerlo lee esto:

[url]https://foros.zonavirus.com/viewtopic.php?f=5&t=5266[/url]



Cuando tu antivirus este escaneando veras que salen un montón de archivos infectados y son archivos que traen nombres de archivos verdaderos que tenias en tu pc, pero la diferencia es que estos terminan en .exe; ejemplo: mi foto.jpg, el virus es mi foto.exe.

He comprobado que symantec, avira y avast lo detectan y los borran. Creamen, tuvimos más de 20 pcs infectadas.



El nod32 es muy bueno pero tienes que comprar la licencia, si no quieres o no puedes pues usa uno de los gratuitos que te dije.



Espero haberte ayudado!!!!!

[msc hotline sat]

Prueba el ELISTARA, si no puedes bajartelo desde este ordenador, hazlo desde otro y copiaselo a este y luego lo pruebas en él:


[code] [quote="para DESCARGAR el ELISTARA, msc"]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de

C:\infosat.txt para ver el resultado del proceso [/quote]


y como que probablemente sea un virus de pendrive, vacune ordenador y pendrives con el ELIPEN:

[quote="para DESCARGAR el ELIPEN, msc"]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de

C:\infosat.txt para ver el resultado del proceso [/quote]

y nos comenta el resultado, gracias

saludos

ms, 14-4-2008

[msc hotline sat]

y "mikmatcr", no te estas refiriendo a otro virus llamado BRONTOK ??? Este dice que es el BRONKOT.A , no el BRONTOK, y lo dice en el título y en el post, aunque puede haberse equivocado, claro, pero dos veces...



Ademas, lo que dice de "ME SALE UNA PAGINA EN VERDE CON LETRAS EN AMARILLO Y ROJO EN UN IDIOMA RARO" es propio del BRONKOT. Te salía a tí en los 20 ordenadores infectados con el BRONTOK ???



Pero si realmente fuera el BRONTOK, la utilidad adecuada sería el ELITRIIP.


[quote="para DESCARGAR el ELITRIIP, msc"]



http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de



C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 14-04-2008





NOTA: Creo que se trata de virus distintos, el BRONTOK se propaga por e-mail masivo, y el BRONKOT por pendrive, claro que podría ser uno que hiciera las dos cosas ... Ya veremos :wink:

[mikmatcr]

Mmmmm, podría ser yo el que me equivoque. Lo raro es que también se le reinicia cuando trata de descargar algo. Muy tipico en este virus. :oops:



Podria ser una variante del mismo?? :?:

Bueno no seguire especulando y esperare a que los expertos lo resuelvan.

Y si me equivoque pido mis disculpas!! :oops:

[mikmatcr]

Me puse a buscar en la base de datos de los antivirus más populares yno encontre ningún Bronkot. Mi pregunta es: Si no tienes antivirus como sabes el nombre del virus?, me imagino que en algún lado tuviste que ver el nombre.

Esto fue lo más parecido que encontre del virus:



Nombre: Worm/Brontok.a

Descubierto: 14/10/2005

Tipo: Gusano

En circulación (ITW): Sí

Número de infecciones comunicadas: Bajo

Potencial de propagación: Medio-alto

Potencial dañino: Medio

Fichero estático: Sí

Tamaño: 42.065 Bytes

Suma de control MD5: c51a426d90af0Cdcb97c10bb4ea12696

Versión del VDF: 6.32.00.84 - Fri, 14 Oct 2005 16:07 (GMT+1)



General Método de propagación:

• Correo electrónico

• Peer to Peer





Alias:

• Symantec: W32.Rontokbro@mm

• Kaspersky: Email-Worm.Win32.Brontok.q

• TrendMicro: WORM_RONTKBR.B

• Grisoft: I-Worm/VB.GG

• VirusBuster: I-Worm.Brontok.CU

• Eset: Win32/Brontok.T

• Bitdefender: Win32.Brontok.AO@mm





Plataformas / Sistemas operativos:

• Windows 95

• Windows 98

• Windows 98 SE

• Windows NT

• Windows ME

• Windows 2000

• Windows XP

• Windows 2003





Efectos secundarios:

• Contiene su propio motor para generar mensajes de correo

• Reduce las opciones de seguridad

• Modificaciones en el registro



Ficheros Se copia a sí mismo en las siguientes ubicaciones:

• %WINDIR%\ShellNew\RakyatKelaparan.exe

• %SYSDIR%\cmd-brontok.exe

• %SYSDIR%\%nombre del usuario actual%'s Setting.scr

• %WINDIR%\KesenjanganSosial.exe

• %home%\Local Settings\Application Data\smss.exe

• %home%\Local Settings\Application Data\br%serie de caracteres aleatorios de cuatro dígitos%on.exe

• %home%\Local Settings\Application Data\services.exe

• %home%\Local Settings\Application Data\inetinfo.exe

• %home%\Local Settings\Application Data\csrss.exe

• %home%\Local Settings\Application Data\lsass.exe

• %home%\Local Settings\Application Data\IDTemplate.exe

• %home%\Templates\%serie de caracteres aleatorios de cinco dígitos%-NendangBro.com

• %SYSDIR%\drivers\etc\hosts-Denied By-%nombre del usuario actual%.com







Elimina el siguiente fichero:

• %SYSDIR%\drivers\etc\hosts-Denied By-%nombre del usuario actual%.com







Crea los siguientes ficheros:



– %home%\Local Settings\Application Data\Loc.Mail.Bron.Tok\%direcciones de email coleccionadas% .ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:

• Brontok.A

By: HVM31

-- JowoBot

VM Community --



– %WINDIR%\Tasks\At1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.







Intenta descargar un fichero:



– La dirección es la siguiente:

• http://www.geocities.com/stabro7ok/**********

Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.



Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:



– HKLM\software\microsoft\windows\currentversion\run

• "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""



– HKCU\software\microsoft\windows\currentversion\run

• "Tok-Cirrhatus" = ""

• "Tok-Cirrhatus-%serie de caracteres aleatorios de cuatro dígitos%" = ""%home%\Local Settings\Application Data\bron%serie de caracteres aleatorios de cuatro dígitos%on.exe""







Añade la siguiente clave al registro:



– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

• "AlternateShell" = "cmd-brontok.exe"







Modifica las siguientes claves del registro:



Desactivar Regedit y el Administrador de Tareas:

– HKCU\software\microsoft\windows\currentversion\Policies\System

Valor anterior:

• "DisableCMD" = %configuración definida por el usuario%

• "DisableRegistryTools" = %configuración definida por el usuario%

Nuevo valor:

• "DisableCMD" = dword:00000000

• "DisableRegistryTools" = dword:00000000



Varias opciones de configuración en Explorer:

– HKCU\software\microsoft\windows\currentversion\Policies\Explorer

Valor anterior:

• "NoFolderOptions" = %configuración definida por el usuario%

Nuevo valor:

• "NoFolderOptions" = dword:00000001



Varias opciones de configuración en Explorer:

– HKCU\software\microsoft\windows\currentversion\explorer\advanced

Valor anterior:

• "ShowSuperHidden" =%configuración definida por el usuario%

• "HideFileExt" = %configuración definida por el usuario%

• "Hidden" = %configuración definida por el usuario%

Nuevo valor:

• "ShowSuperHidden" = dword:00000000

• "HideFileExt" = dword:00000001

• "Hidden" = dword:00000000



Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:





De:

La dirección del remitente es falsa.





Para:

– Direcciones de correo encontradas en ficheros específicos del sistema.

– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)





Asunto:

El campo del asunto está vacío.





El cuerpo del mensaje:

El cuerpo del mensaje es el siguiente:



• BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]

-- Hentikanlah kebobrokan di negeri ini --

4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA

+ Send to %NUSAKAMBANGAN%,

5. Stop Free Sex/ Aborsi/ ) Prostitusi

+ Go To HELL ,

6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.

7. Stop Pornografi ) Pornoaksi

8. SAY NO TO DRUGS $$$

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh:

Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah



[ By: HVM64 ]

-- JowoBot &VM Community --

$$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$





Archivo adjunto:

El nombre del fichero adjunto está compuesto de los siguientes elementos:



– Empieza por uno de los siguientes:

• PATAH

• HATI

• CINTA

• UNTUKMU

• DATA-TEMEN

• RIYANI

• JANGKARU

• KANGEN

• JROX



Seguido por una de las siguientes extensiones falsas:

• .doc

• .xls



La extensión del fichero es una de las siguientes:

• .exe



El archivo adjunto es una copia del propio programa malicioso.



Envio de mensajes Busca direcciones:

Busca direcciones de correo en los siguientes ficheros:

• .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt





Evita las direcciones:

No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:

• DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;

BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;

PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;

ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;

OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;

TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;

SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;

ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;

ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;

COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;

INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;

LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;

SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;

.CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;

.WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU





Prefijar los dominios de las direcciones de correo:

Para obtener la dirección IP del servidor de correo, añade los siguientes prefijos al nombre del dominio:

• smtp.

• mail.

• ns1.



P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca todas las carpetas compartidas en la red.



Al tener éxito, crea el siguiente fichero:

• %todas las carpetas compartidas%.exe



Estos ficheros son copias del programa malicioso.



Finalización de los procesos Listado de los procesos finalizados:

• mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;

syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;

ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;

nipsvc.exe



Processes containing the following window title (es)

• REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT

HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;

SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;

MOVZX





DoS (Denegación de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:

• kaskus.com

• tahun.com



Datos del fichero Lenguaje de programación:

El programa de malware ha sido escrito en MS Visual C++.





Programa de compresión de ejecutables:

Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.





Lo hice porque me quede con la espinita de si sera el que yo digo o no.

Bueno esperaremos a que "Troyana" nos verifique si esta bien puesto el nombre.



Chao y buenas noches. Ya de madrugada en Costa Rica.. :shock: :shock: :mrgreen:

[msc hotline sat]

Sí, yo tambien tengo la duda, pero como que con el Google se encuentra otro caso (que luego confunden del nombre con la solucion :lol: ) y que indica lo mismo de ""ME SALE UNA PAGINA EN VERDE CON LETRAS EN AMARILLO Y ROJO EN UN IDIOMA RARO"", recuerdas que lo hiciera el Brontok que tuviste ???



Es el sintoma que identifica a este, si es que es otro, por esto te pedia si recordabas dicho hecho.



Es que el nombre se las trae ! muy facil de confundir !!!



saludos



ms, 14-04-2008

[troyana]

YO ENCONTRE EN ALGUN SITIO DE INTERNET, NO RECURDO DONDE, QUE HAY MUCHISIMAS VARIANTES DEL BRONKOT, Y UNO DE ELLOS ES EL BRONKOT.A, (ME SALIA QUE ES UN GUSANO, CABAYO DE TROYA O ALGO ASI)Y QUE ES EL QUE YO TENGO PORQUE SALE ESTE MISMO NOMBRE EN LA PAGINA EN VERDE QUE OS DIGO. ES EXACTAMENTE LO MISMO QUE LE PASA A ESE 2º CASO QUE HABEIS VISTO POR EL GOOGLE, YO TAMBIEN LO ENCONTRE.SE ME PASO POR UN PENDRIVE, PORQUE EN MI ORDENADOR ANTIGUO TAMBIEN LO TENGO DESDE HACE TIEMPO, PERO CLARO YO NO TENIA NI IDEA QUE ESO SE TRATABA DE UN VIRUS.ESO ME PASA POR IGNORANTE. PUES SEGUIRE VUESTROS CONSEJOS, ME BAJARE UNO DE ESOS QUE ME HABEIS INDICADO Y LO INTENTARE ASI.MUCHAS GRACIAS POR VUESTRA AYUDA. YA OS CONTARE COMO ME HA IDO. :P

[msc hotline sat]

Sí, pero si te fijas, muchos confunden el BRONKOT que dices tener con el BRONTOK que es mucho mas normal, y que ya controlamos con el ELITRIIP. Lo has probado ???



y vacunaste con el ELIPEN como te dijimos ???



Por cierto, que si se propaga por pendrive, no parece que sea el BRONTOK, que lo hace por mail y P2P, razón por la que cabe pensar en este otro BRONKOT



En fin , siga lo que indicamos y comentenos el resultado, gracias



saludos



ms, 15-04-2008

[troyana]

AKI ESTOY DE NUEVO. AL FINAL ME HICE DEL KASPERSKY ANTIVIRUS 7.0, Y HE CONSEGUIDO ELIMINAR TODOS LOS ARCHIVOS INFECTADOS POR EL BRONTOK.A, TENIA MUCHISIMOS.ADEMAS ME DETECTO UN UN PROGRAMA ESPIA, NO SE Q DE ADVARE, Y UN CABALLO DE TROYA BACKDOOR. NO TENIA NI IDEA DE Q EXISTIERAN TANTAS CLASES DE VIRUS, Q MOVIDA, JAJA.BUENO MUCHAS GRACIAS POR LA AYUDA. UN SALUDO PARA TODOS :D :D :D :D :D :D

[troyana]

P.D: SÍ, ERA EL BRONTOK.A Y NO EL BRONKOT.A . 8)

[msc hotline sat]

Pues cuidado que NO lo es lo mismo la gimnasia que la magnesia :P



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 16-04-2008