Efectos 

Brontok.KN realiza las siguientes acciones:

• Infecta los archivos con extensión EXE que encuentre en el ordenador afectado. Los archivos infectados se quedan con el icono de una carpeta y el nombre de una carpeta ya existente.
• Incluye una copia de sí mismo en los archivos con extensión ZIP del ordenador afectado. De esta manera, si el usuario lo descomprime y ejecuta el archivo malicioso, el ordenador se infectaría.
• Borra los archivos correspondientes a varios programas antivirus, dejando el ordenador vulnerable frente a posible malware.
• Finaliza los procesos cuyo título de ventana contenga alguna de las siguientes cadenas de texto:
  CMD.EXE
  COMMAND PROMPT
  CONFIRM FILE DELETE
  CONFIRM MULTIPLE FILE DELETE
  DISPLAY PROPERTIES
  EASYRECOVERY
  EXESCOPE
  HEX WORKSHOP
  HIJACKTHIS
  IDA
  INTERNET OPTIONS
  KILLBOX
  NORMAN
  NVC
  PC MEDIA
  PEID
  POCKET KILLBOX
  POWERQUEST
  PROCESS
  REGISTRY EDITOR
  RESOURCE HACKER
  SETUP
  SHOW/KILL RUNNING PROCESS
  SUPERDAT
  SYSTEM MECHANIC
  SYSTEM RESTORE
  SYSTUNER
  TASK MANAGER
  taskkill.exe /f /im explorer.exe
  taskkill.exe /f /im explorer.exe
  TUNEUP
  URSOFT W32DASM
  WINDOWS TASK MANAGER
  XREFS
  ZONEALARM
  Estos procesos están relacionados con programas de seguridad y aplicaciones como el Administrador de tareas o la consola de comandos, entre otras.

Metodo de Infección 

Brontok.KN crea el archivo ASSHOLEFUCKING.EXE y otros 5 archivos aleatorios en las siguientes ubicaciones:

• en una carpeta creada por él mismo en algún subdirectorio de Windows. En esta ubicación también crea los archivos: BITCHKICKASS.OCX y FUCKINGBITCH.OCX.
• en el directorio raíz de la unidad C:.
• en el directorio de Windows.

Un ejemplo de los archivos aleatorios que crea son los siguientes:

- GUHEL.EXE

- BUHAX.EXE

- YIXUC.EXE

- YITUB.EXE

- XESID.EXE

Además, crea el archivo .EXE en el directorio raíz de la unidad C:.

Brontok.KN modifica el archivo HOSTS y lo deja vacío.

Por otra parte, Brontok.KN infecta los archivos con extensión EXE que encuentra en el equipo mediante la técnica denominada prepending, que consiste en introducir su código vírico al principio del archivo que infecta, para asegurarse de que será activado cada vez que el archivo infectado sea abierto, pero sin interferir en el funcionamiento del mismo.

Además, antes de infectar los archivos, crea una copia de los archivos originales en el directorio de archivos temporales de Windows con el mismo nombre y con la extensión NITRO.A.

Brontok.KN crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
  BitchHoletoFuck = guhel.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
  ChatApplication = buhax.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
  FuckMeBitch = yixuc.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
  MainApplication = yitub.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
  PolitikusBusuk = xesid.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Nitro.A
  PlaceOfApplication = C:\WINDOWS

Método de Propagación 

Brontok.KN infecta archivos con extensión EXE. Se extiende a ordenadores cuando los archivos previamente infectados son distribuidos, entrando en el nuevo sistema a través de los medios habituales: unidades de almacenamiento externas, mensajes de correo con archivos adjuntos, descargas de Internet, archivos enviados a través de FTP, redes P2P, etc.

Otros Detalles  

Brontok.KN tiene un tamaño de 143365 Bytes.