Verbreitung: *****
Schaden: *****

Der Wurm Rontok.C ist zurzeit wieder per E-Mail unterwegs. Der Wurm versteckt sich in einer E-Mail, die angeblich vor dem Gebrauch von Drogen warnt. Weitere Informationen dazu, könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Informationen über die Gefahr von Drogen, sondern der Wurm installiert such auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Die Betreffzeile ist leer.

Dateianhang: kangen.txt.exe

E-Mail-Text: SAY NO TO DRUGS

Dateigröße: 81.920 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
• %WINDIR%\ShellNew\ElnorB.exe
• %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
• %home%\Start Menu\Programs\Startup\Empty.pif
• %home%\Local Settings\Application Data\smss.exe
• %home%\Local Settings\Application Data\services.exe
• %home%\Local Settings\Application Data\inetinfo.exe
• %home%\Local Settings\Application Data\csrss.exe
• %home%\Local Settings\Application Data\lsass.exe
• %home%\Local Settings\Application Data\winlogon.exe
• %home%\Templates\bararontok.com
• %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com

In der Autoexec.bat wird folgender Befehl angelegt: – %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task, welchen der Wurm zu einem vordefinierten Zeitpunkt ausführt.

Folgende Einträge werden in der Registry angelegt:

– HKLM\software\microsoft\windows\currentversion\run
• "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
• "Tok-Cirrhatus" = ""
• "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%home%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""

Folgende Einträge werden in der Registry geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\software\microsoft\windows\currentversion\Pol icies\System
Alter Wert:
• "DisableCMD" = %Einstellungen des Benutzers%
• "DisableRegistryTools" = %Einstellungen des Benutzers%
Neuer Wert:
• "DisableCMD" = dword:00000000
• "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\Pol icies\Explorer
Alter Wert:
• "NoFolderOptions" = %Einstellungen des Benutzers%
Neuer Wert:
• "NoFolderOptions" = dword:00000001

– HKCU\software\microsoft\windows\currentversion\exp lorer\advanced
Alter Wert:
• "ShowSuperHidden" =%Einstellungen des Benutzers%
• "HideFileExt" = %Einstellungen des Benutzers%
• "Hidden" = %Einstellungen des Benutzers%
Neuer Wert:
• "ShowSuperHidden" = dword:00000000
• "HideFileExt" = dword:00000001
• "Hidden" = dword:00000000