Vollständige Virenbeschreibung

Name:	Worm/Brontok.J
Entdeckt am:	30/03/2006
Art:	Worm
In freier Wildbahn:	Ja
Gemeldete Infektionen:	Niedrig
Verbreitungspotenzial:	Mittel
Schadenspotenzial:	Mittel
Statische Datei:	Nein
Dateigröße:	45.120 Bytes
VDF Version:	6.34.00.117

Allgemein Verbreitungsmethode:
   • Email

Aliases:
   • Symantec: W32.Rontokbro.X@mm
   • Mcafee: W32/Rontokbro
   • Kaspersky: Email-Worm.Win32.Brontok.n
   • TrendMicro: WORM_RONTOKBR.AO
   • Bitdefender: Win32.Brontok.W@mm

Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Erstellt Dateien
   • Verfügt über eigene Email Engine
   • Änderung an der Registry

Nach Aktivierung werden folgende Informationen angezeigt:

Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\j%systemabhängig%.exe
   • %SYSDIR%\c%systemabhängig%k.com
   • %SYSDIR%\s%systemabhängig%\zh%systemabhängig%y.exe
   • %WINDIR%\o%systemabhängig%.exe
   • %WINDIR%\_default%systemabhängig%.pif
   • %HOME%\Local Settings\Application Data\dv%systemabhängig%0x\yesbron.com
   • %WINDIR%\Us%systemabhängig%\qm%systemabhängig%.exe
   • %SYSDIR%\s%systemabhängig%\m%systemabhängig%.exe
   • %SYSDIR%\s%systemabhängig%\zh%systemabhängig%y.exemsatr.bin
   • %SYSDIR%\s%systemabhängig%\csrss.exe
   • %SYSDIR%\s%systemabhängig%\services.exe
   • %SYSDIR%\s%systemabhängig%\lsass.exe
   • %SYSDIR%\s%systemabhängig%\smss.exe
   • %SYSDIR%\s%systemabhängig%\winlogon.exe
   • %SYSDIR%\s%systemabhängig%\o%systemabhängig%.exe
   • %HOME%\Local Settings\Application Data\jalak-%systemabhängig%-bali.com

Die folgende Datei wird umbenannt:

    • %SYSDIR%\msvbm60.dll nach %SYSDIR%\msvbm60.dll.%mehrere beliebige Ziffern%

Es werden folgende Dateien erstellt:

– Dateien für temporären Gebrauch. Diese werden möglicherweise wieder gelöscht.
   • %SYSDIR%\s%systemabhängig%\domlist.txt
   • %SYSDIR%\s%systemabhängig%\getdomlist.txt
   • %SYSDIR%\s%systemabhängig%\brdom.bat

– %SYSDIR%\s%systemabhängig%\Spread.Mail.Bro\%Emailadresse des Empfängers%.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Brontok.C
     By:JowoBot

– c:\Baca Bro !!!.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • BRONTOK.C[22]



     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.

     Nobron = Satria Dungu = Nothing !!!
     Romdil = Tukang Jiplak = Nothing !!!

     Nobron & Romdil -->> Kicked by The Amazing Brontok




      [ By JowoBot ]

– %SYSDIR%\s%systemabhängig%\c.bron.tok.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Brontok.C
     By:JowoBot

– %WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.
– %WINDIR%\Tasks\At2.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.

Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • http://www.net4free.org/Arts/bddwyrk/**********
Diese wird lokal gespeichert unter: %SYSDIR%\s%systemabhängig%\zh%systemabhängig%y.exeupi22xbm.ini

– Die URL ist folgende:
   • http://debuging.com/WS1/cgi/x.cgi?NAVG=Tracker&username=dudxwd
Diese wird lokal gespeichert unter: %SYSDIR%\s%systemabhängig%\svt22sj.tok

Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f%systemabhängig%Use"=""%SYSDIR%\s%systemabhängig%\zh%systemabhängig%y.exe""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • "f%systemabhängig%Use"=""%HOME%\Local Settings\Application Data\dv%systemabhängig%0x\yesbron.com""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "A%systemabhängig%r"=""%WINDIR%\j%systemabhängig%.exe""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "A%systemabhängig%r"=""%WINDIR%\_default%systemabhängig%.pif""

Die Werte der folgenden Registry keys werden gelöscht:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-%systemabhängig%Usec
   • Tok-Cirrhatus
   • Tok-Cirrhatus-%systemabhängig%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus-%systemabhängig%XPPM
   • Bron-Spizaetus

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-%systemabhängig%Usec
   • brl

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • Bron-Spizaetus-%systemabhängig%XPPM

Folgender Registryschlüssel wird hinzugefügt:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="c_%systemabhängig%k.com"

Folgende Registryschlüssel werden geändert:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"=%Einstellungen des Benutzers%
   • "Userinit"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Shell"="Explorer.exe "%WINDIR%\o%systemabhängig%.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\j%systemabhängig%.exe"

Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:
Die Sprache in der die Email verschickt wird ist Top-Level-Domain abhängig.

An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.

Design der Emails:

Betreff: My Best Photo
Body:
   • Hi,
     I want to share my photo with you.
     Wishing you all the best.

     Regards,
Betreff: Fotoku yg Paling Cantik
Body:
   • Hi,
     Aku lg iseng aja pengen kirim foto ke kamu.
     Jangan lupain aku ya !.

     Thanks,

Dateianhang:
Der Ihnalt dieser Datei ist keine Kopie seiner selbst aber enthält anderen Schadcode.

Der Dateiname des Anhangs ist folgender:
   • Photo.zip

Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • csv
   • asp
   • html
   • eml
   • htm
   • doc
   • cfm
   • wab
   • txt

Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • pcmag; pcplus; pcmedia; chip; yahoo; abuse; borland; -_; _-; __; --;
      acer; compaq; torvald; trovald; detik; .ppt; .cfm; .eml; .txt; .jpg;
      .gif; .xls; .doc; .pdf; anony; coding; guru; code; script; @mm; w32;
      _@; @_; -@; @-; ._; _.; .-; -.; NONE; CASTLE; WINRAR; WINZIP; HELP;
      IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; BILLING@; INFO@;
      CONTOH; EXAMPLE; SMTP; XXX; ..; TEST; NETWORK; SOURCE; PROGRAM; WWW;
      .@; @.; ASDF; SOME; YOUR; BLAH; SPAM; SOFT; PANDA; NORMAN; NORTON;
      ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT; AVG; LINUX; CRACK;
      HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE; UPDATE; DEVELOP;
      VAKSIN

Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • ns1.
   • mail.
   • smtp.

Hosts Die hosts Datei wird wie folgt geändert:

– In diesem Fall werden die bestehenden Einträge gelöscht.

– Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • mcafee.com; www.mcafee.com; mcafee.net; www.mcafee.net; mcafee.org;
      www.mcafee.org; mcafeesecurity.com; www.mcafeesecurity.com;
      mcafeesecurity.net; www.mcafeesecurity.net; mcafeesecurity.org;
      www.mcafeesecurity.org; mcafeeb2b.com; www.mcafeeb2b.com;
      mcafeeb2b.net; www.mcafeeb2b.net; mcafeeb2b.org; www.mcafeeb2b.org;
      nai.com; www.nai.com; nai.net; www.nai.net; nai.org; www.nai.org;
      vil.nai.com; www.vil.nai.com; vil.nai.net; www.vil.nai.net;
      vil.nai.org; www.vil.nai.org; grisoft.com; www.grisoft.com;
      grisoft.net; www.grisoft.net; grisoft.org; www.grisoft.org;
      kaspersky-labs.com; www.kaspersky-labs.com; kaspersky-labs.net;
      www.kaspersky-labs.net; kaspersky-labs.org; www.kaspersky-labs.org;
      kaspersky.com; www.kaspersky.com; kaspersky.net; www.kaspersky.net;
      kaspersky.org; www.kaspersky.org; downloads1.kaspersky-labs.com;
      www.downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.net;
      www.downloads1.kaspersky-labs.net; downloads1.kaspersky-labs.org;
      www.downloads1.kaspersky-labs.org; downloads2.kaspersky-labs.com;
      www.downloads2.kaspersky-labs.com; downloads2.kaspersky-labs.net;
      www.downloads2.kaspersky-labs.net; downloads2.kaspersky-labs.org;
      www.downloads2.kaspersky-labs.org; downloads3.kaspersky-labs.com;
      www.downloads3.kaspersky-labs.com; downloads3.kaspersky-labs.net;
      www.downloads3.kaspersky-labs.net; downloads3.kaspersky-labs.org;
      www.downloads3.kaspersky-labs.org; downloads4.kaspersky-labs.com;
      www.downloads4.kaspersky-labs.com; downloads4.kaspersky-labs.net;
      www.downloads4.kaspersky-labs.net; downloads4.kaspersky-labs.org;
      www.downloads4.kaspersky-labs.org; download.mcafee.com;
      www.download.mcafee.com; download.mcafee.net; www.download.mcafee.net;
      download.mcafee.org; www.download.mcafee.org; norton.com;
      www.norton.com; norton.net; www.norton.net; norton.org;
      www.norton.org; symantec.com; www.symantec.com; symantec.net;
      www.symantec.net; symantec.org; www.symantec.org;
      liveupdate.symantecliveupdate.com;
      www.liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.net;
      www.liveupdate.symantecliveupdate.net;
      liveupdate.symantecliveupdate.org;
      www.liveupdate.symantecliveupdate.org; liveupdate.symantec.com;
      www.liveupdate.symantec.com; liveupdate.symantec.net;
      www.liveupdate.symantec.net; liveupdate.symantec.org;
      www.liveupdate.symantec.org; update.symantec.com;
      www.update.symantec.com; update.symantec.net; www.update.symantec.net;
      update.symantec.org; www.update.symantec.org;
      securityresponse.symantec.com; www.securityresponse.symantec.com;
      securityresponse.symantec.net; www.securityresponse.symantec.net;
      securityresponse.symantec.org; www.securityresponse.symantec.org;
      sarc.com; www.sarc.com; sarc.net; www.sarc.net; sarc.org;
      www.sarc.org; vaksin.com; www.vaksin.com; vaksin.net; www.vaksin.net;
      vaksin.org; www.vaksin.org; forum.vaksin.com; www.forum.vaksin.com;
      forum.vaksin.net; www.forum.vaksin.net; forum.vaksin.org;
      www.forum.vaksin.org; norman.com; www.norman.com; norman.net;
      www.norman.net; norman.org; www.norman.org; trendmicro.com;
      www.trendmicro.com; trendmicro.net; www.trendmicro.net;
      trendmicro.org; www.trendmicro.org; trendmicro-europe.com;
      www.trendmicro-europe.com; trendmicro-europe.net;
      www.trendmicro-europe.net; trendmicro-europe.org;
      www.trendmicro-europe.org; ae.trendmicro-europe.com;
      www.ae.trendmicro-europe.com; ae.trendmicro-europe.net;
      www.ae.trendmicro-europe.net; ae.trendmicro-europe.org;
      www.ae.trendmicro-europe.org; it.trendmicro-europe.com;
      www.it.trendmicro-europe.com; it.trendmicro-europe.net;
      www.it.trendmicro-europe.net; it.trendmicro-europe.org;
      www.it.trendmicro-europe.org; secunia.com; www.secunia.com;
      secunia.net; www.secunia.net; secunia.org; www.secunia.org;
      winantivirus.com; www.winantivirus.com; winantivirus.net;
      www.winantivirus.net; winantivirus.org; www.winantivirus.org;
      pandasoftware.com; www.pandasoftware.com; pandasoftware.net;
      www.pandasoftware.net; pandasoftware.org; www.pandasoftware.org;
      esafe.com; www.esafe.com; esafe.net; www.esafe.net; esafe.org;
      www.esafe.org; f-secure.com; www.f-secure.com; f-secure.net;
      www.f-secure.net; f-secure.org; www.f-secure.org; europe.f-secure.com;
      www.europe.f-secure.com; europe.f-secure.net; www.europe.f-secure.net;
      europe.f-secure.org; www.europe.f-secure.org; bhs.com; www.bhs.com;
      bhs.net; www.bhs.net; bhs.org; www.bhs.org; datafellows.com;
      www.datafellows.com; datafellows.net; www.datafellows.net;
      datafellows.org; www.datafellows.org; cheyenne.com; www.cheyenne.com;
      cheyenne.net; www.cheyenne.net; cheyenne.org; www.cheyenne.org;
      ontrack.com; www.ontrack.com; ontrack.net; www.ontrack.net;
      ontrack.org; www.ontrack.org; sands.com; www.sands.com; sands.net;
      www.sands.net; sands.org; www.sands.org; sophos.com; www.sophos.com;
      sophos.net; www.sophos.net; sophos.org; www.sophos.org; icubed.com;
      www.icubed.com; icubed.net; www.icubed.net; icubed.org;
      www.icubed.org; perantivirus.com; www.perantivirus.com;
      perantivirus.net; www.perantivirus.net; perantivirus.org;
      www.perantivirus.org; castlecops.com; www.castlecops.com;
      castlecops.net; www.castlecops.net; castlecops.org;
      www.castlecops.org; virustotal.com; www.virustotal.com;
      virustotal.net; www.virustotal.net; virustotal.org;
      www.virustotal.org; free-av.com; www.free-av.com; free-av.net;
      www.free-av.net; free-av.org; www.free-av.org; antivirus.com;
      www.antivirus.com; antivirus.net; www.antivirus.net; antivirus.org;
      www.antivirus.org; anti-virus.com; www.anti-virus.com; anti-virus.net;
      www.anti-virus.net; anti-virus.org; www.anti-virus.org; ca.com;
      www.ca.com; ca.net; www.ca.net; ca.org; www.ca.org; fajarweb.com;
      www.fajarweb.com; fajarweb.net; www.fajarweb.net; fajarweb.org;
      www.fajarweb.org; jasakom.com; www.jasakom.com; jasakom.net;
      www.jasakom.net; jasakom.org; www.jasakom.org; backup.grisoft.com;
      www.backup.grisoft.com; backup.grisoft.net; www.backup.grisoft.net;
      backup.grisoft.org; www.backup.grisoft.org; infokomputer.com;
      www.infokomputer.com; infokomputer.net; www.infokomputer.net;
      infokomputer.org; www.infokomputer.org; playboy.com; www.playboy.com;
      playboy.net; www.playboy.net; playboy.org; www.playboy.org;
      sex-mission.com; www.sex-mission.com; sex-mission.net;
      www.sex-mission.net; sex-mission.org; www.sex-mission.org;
      pornstargals.com; www.pornstargals.com; pornstargals.net;
      www.pornstargals.net; pornstargals.org; www.pornstargals.org;
      kaskus.com; www.kaskus.com; kaskus.net; www.kaskus.net; kaskus.org;
      www.kaskus.org; 17tahun.com; www.17tahun.com; 17tahun.net;
      www.17tahun.net; 17tahun.org; www.17tahun.org; padinet.com;
      www.padinet.com; padinet.net; www.padinet.net; padinet.org;
      www.padinet.org; jeruk.padinet.com; www.jeruk.padinet.com;
      jeruk.padinet.net; www.jeruk.padinet.net; jeruk.padinet.org;
      www.jeruk.padinet.org; compactbyte.com; www.compactbyte.com;
      compactbyte.net; www.compactbyte.net; compactbyte.org;
      www.compactbyte.org; blog.compactbyte.com; www.blog.compactbyte.com;
      blog.compactbyte.net; www.blog.compactbyte.net; blog.compactbyte.org;
      www.blog.compactbyte.org; blogs.compactbyte.com;
      www.blogs.compactbyte.com; blogs.compactbyte.net;
      www.blogs.compactbyte.net; blogs.compactbyte.org;
      www.blogs.compactbyte.org

Die modifizierte Host Datei sieht wie folgt aus:

Prozess Beendigung Liste der Prozesse die beendet werden:
   • XPSHARE; ANTIVIRUS; MSPATCH; PARIS; PACAR; CEWE; AZHARI; FOTO; ALICIA;
      RENATA; MARIANA; SASTRO; DIAN; BROWNIES; KWASHER; VIRUS.; NURHALIZA;
      SITI.

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • peid; task view; telanjang; bugil; naked; alwil; wintask; folder
      option; trojan; avira; windows script; commander; pc-media; killer;
      ertanto; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; killbox;
      scheduled task; computer management; cmd.exe; group policy; system
      configuration; command prompt; registry; baca bro !!!; task manager

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Andrei Ivanes am Mittwoch, 5. April 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Montag, 8. Mai 2006

zurück . . . .