Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Brontok.KN realiza las siguientes acciones:
- Infecta los archivos con extensión EXE que encuentre en el ordenador afectado. Los archivos infectados se quedan con el icono de una carpeta y el nombre de una carpeta ya existente.
- Incluye una copia de sí mismo en los archivos con extensión ZIP del ordenador afectado. De esta manera, si el usuario lo descomprime y ejecuta el archivo malicioso, el ordenador se infectaría.
- Borra los archivos correspondientes a varios programas antivirus, dejando el ordenador vulnerable frente a posible malware.
- Finaliza los procesos cuyo título de ventana contenga alguna de las siguientes cadenas de texto:
CMD.EXE
COMMAND PROMPT
CONFIRM FILE DELETE
CONFIRM MULTIPLE FILE DELETE
DISPLAY PROPERTIES
EASYRECOVERY
EXESCOPE
HEX WORKSHOP
HIJACKTHIS
IDA
INTERNET OPTIONS
KILLBOX
NORMAN
NVC
PC MEDIA
PEID
POCKET KILLBOX
POWERQUEST
PROCESS
REGISTRY EDITOR
RESOURCE HACKER
SETUP
SHOW/KILL RUNNING PROCESS
SUPERDAT
SYSTEM MECHANIC
SYSTEM RESTORE
SYSTUNER
TASK MANAGER
taskkill.exe /f /im explorer.exe
taskkill.exe /f /im explorer.exe
TUNEUP
URSOFT W32DASM
WINDOWS TASK MANAGER
XREFS
ZONEALARM
Estos procesos están relacionados con programas de seguridad y aplicaciones como el Administrador de tareas o la consola de comandos, entre otras.
Metodo de Infección
Brontok.KN crea el archivo ASSHOLEFUCKING.EXE y otros 5 archivos aleatorios en las siguientes ubicaciones:
- en una carpeta creada por él mismo en algún subdirectorio de Windows. En esta ubicación también crea los archivos: BITCHKICKASS.OCX y FUCKINGBITCH.OCX.
- en el directorio raíz de la unidad C:.
- en el directorio de Windows.
Un ejemplo de los archivos aleatorios que crea son los siguientes:
- GUHEL.EXE
- BUHAX.EXE
- YIXUC.EXE
- YITUB.EXE
- XESID.EXE
Además, crea el archivo .EXE en el directorio raíz de la unidad C:.
Brontok.KN modifica el archivo HOSTS y lo deja vacío.
Por otra parte, Brontok.KN infecta los archivos con extensión EXE que encuentra en el equipo mediante la técnica denominada prepending, que consiste en introducir su código vírico al principio del archivo que infecta, para asegurarse de que será activado cada vez que el archivo infectado sea abierto, pero sin interferir en el funcionamiento del mismo.
Además, antes de infectar los archivos, crea una copia de los archivos originales en el directorio de archivos temporales de Windows con el mismo nombre y con la extensión NITRO.A.
Brontok.KN crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
BitchHoletoFuck = guhel.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
ChatApplication = buhax.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
FuckMeBitch = yixuc.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
MainApplication = yitub.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
PolitikusBusuk = xesid.exe - HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
PlaceOfApplication = C:\WINDOWS
Método de Propagación
Brontok.KN infecta archivos con extensión EXE. Se extiende a ordenadores cuando los archivos previamente infectados son distribuidos, entrando en el nuevo sistema a través de los medios habituales: unidades de almacenamiento externas, mensajes de correo con archivos adjuntos, descargas de Internet, archivos enviados a través de FTP, redes P2P, etc.
Otros Detalles
Brontok.KN tiene un tamaño de 143365 Bytes.