Rontokbro - restartujący robak

"Insekt" zwykle pojawia się w komputerze w postaci załącznika do e-maila bez tytułu - w treści takiej wiadomości znajdować się będzie jedno z poniższych zdań:

Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA

Stop Free Sex, Absorsi, & Prostitusi

Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.

SAY NO TO DRUGS !!!

Do wiadomości załączony będzie plik Kangen.exe - jego uruchomienie sprawi, że Rontokbro skopiuje się na dysk i doda do Rejestru wpis, dzięki któremu kopia robaka będzie uruchamiana przy każdym starcie systemu Windows.

Od tego momentu Rontokbro rozpocznie monitorowanie systemu - za każdym razem, gdy zostanie otwarte okno o nazwie zawierającej określony ciąg znaków, robak zrestartuje Windows. Wśród fraz, na które reaguje Rontokbro, znalazły się m.in. ADMIN, ADOBE, APACHE, AVAST, AVG, CANON, CILLIN, COMMAND, DATABASE, DEMO, DOWNLOAD, ESCAN, FUJITSU, GOOGLE, GRISOFT, KOMPUTER, MCAFEE, MICROSOFT, MOZILLA, NORTON, NOVELL, NVIDIA, OPERA, PANDA, SCAN, SECURITY, SOPHOS, SPERSKY, SYMANTEC, UPDATE oraz WWW (pełna lista jest kilkakrotnie dłuższa).

Robak może również podjąć próbę przeprowadzenia ataku DDoS na strony israel.gov.il oraz playboy.com. Ostatnim etapem jego działania jest wysłanie swoich kopii na wszystkie znalezione na twardym dysku adresy e-mail.

Aby usunąć z systemu Rontokbro, należy uaktualnić program antywirusowy i przeprowadzić kompleksowe skanowanie systemu. Jeśli aplikacja wykryje kopie robaka, należy je skasować. Gdyby niemożliwe było uruchomienie programu AV, należy uruchomić system operacyjny w trybie awaryjnym i ponownie podjąć próbę uruchomienia "antywirusa".