Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/VB.ay.2
Entdeckt am:05/10/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:81.920 Bytes
MD5 Prfsumme:902792c0116adf49f55f111e82c81db0
VDF Version:6.32.00.60

 Allgemein Verbreitungsmethode:
   • Email
   • Lokales Netzwerk


Aliases:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Verfgt ber eigene Email Engine
   • nderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Eine Datei wird berschreiben.
%Wurzelverzeichnis des Systemlaufwerks%\autoexec.bat

Mit folgendem Inhalt:
   • pause




Es wird folgende Datei erstellt:

%WINDIR%\Tasks\At1 Des weiteren wird sie ausgefhrt nachdem sie vollstndig erstellt wurde. Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausfhrt.



Es wird versucht folgende Datei herunterzuladen:

Die URL ist folgende:
   • http://www.geocities.com/jowobot456/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar. Wird verwendet um einen Prozess zu verstecken.

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Folgende Registryschlssel werden gendert:

Deaktivieren von Regedit und Task Manager:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Alter Wert:
   • "DisableCMD"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Verschiedenste Einstellungen des Explorers:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Alter Wert:
   • "NoFolderOptions"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFolderOptions"=dword:00000001

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Die Absenderadresse wurde geflscht.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
 Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Die Betreffzeile ist leer.


Body:
Der Body der Email ist folgender:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • Kangen.exe

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Anfgen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • smtp.
   • mail.
   • ns1.

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen:


Es wird nach allen freigegebenen Verzeichnissen gesucht.

   War die Suche erfolgreich so wird folgende Datei erstellt:
   • %alle freigegebenen Verzeichnisse%.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

 DoS Direkt nachdem die Malware gestartet wurde werden DoS Attacken gegen folgende Ziele gestartet:
   • israel.gov.il
   • playboy.com

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Irina Boldea am Donnerstag, 25. Mai 2006
Die Beschreibung wurde geändert von Irina Boldea am Donnerstag, 25. Mai 2006

zurück . . . .