Vollständige Virenbeschreibung

Nume:	Worm/VB.ay.2
Descoperit pe data de:	05/10/2005
Tip:	Vierme
ITW:	Da
Numar infectii raportate:	Scazut
Potential de raspandire:	Mediu
Potential de distrugere:	Mediu
Fisier static:	Da
Marime:	81.920 Bytes
MD5:	902792c0116adf49f55f111e82c81db0
Versiune VDF:	6.32.00.60

General Metoda de raspandire:
   • Email
   • Reteaua locala

Alias:
   • Symantec: W32.Rontokbro.B@mm
   • Mcafee: W32/Rontokbro.b@MM
   • Kaspersky: Email-Worm.Win32.Brontok.a
   • TrendMicro: WORM_RONTOKBRO.B
   • Sophos: W32/Brontok-B
   • Grisoft: I-Worm/VB.DV
   • VirusBuster: I-Worm.Brontok.AO
   • Eset: Win32/Brontok.B
   • Bitdefender: Win32.Brontok.A@mm

Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efecte secundare:
   • Descarca un fisier malware
   • Utilizeaza propriul motor de email
   • Modificari in registri

Fisiere Se copiaza in urmatoarele locatii:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com

Suprascrie un fisier.
– %radacina partitiei Windows%\autoexec.bat

Cu urmatorul continut:
   • pause

Este creat fisierul:

– %WINDIR%\Tasks\At1 Fisierul este executat dupa ce a fost creat. Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.

Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.geocities.com/jowobot456/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara. Este folosit pentru a ascunde un proces.

Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"

Urmatoarele chei din registri sunt modificate:

Dezactivarea programelor Regedit si Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Vechea valoare:
   • "DisableCMD"=%setarile utilizatorului%
   • "DisableRegistryTools"=%setarile utilizatorului%
   Noua valoare:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Diverse setari in Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Vechea valoare:
   • "NoFolderOptions"=%setarile utilizatorului%
   Noua valoare:
   • "NoFolderOptions"=dword:00000001

Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:

De la:
Adresa este falsificata.

Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)

Subiect:
Subiectul lipseste.

Corpul email-ului:
Corpul email-ului este:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --

Atasament:
Numele fisierului atasat este urmatorul:
   • Kangen.exe

Atasamentul este o copie malware.

Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC

Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU

Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • smtp.
   • mail.
   • ns1.

P2P Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:

– Cauta toate directoarele partajate in retea.

   Daca reuseste, este creat urmatorul fisier:
   • %toate directoarele share%.exe

   Aceste fişiere sunt copii ale malware-ului.

DoS (Denial of Service) Imediat ce devine activ, porneste un atac DoS asupra urmatoarelor destinatii:
• israel.gov.il
• playboy.com

Detaliile fisierului Limbaj de programare:
Limbaj de programare folosit: Visual Basic.

Die Beschreibung wurde erstellt von Irina Boldea am Donnerstag, 25. Mai 2006
Die Beschreibung wurde geändert von Irina Boldea am Donnerstag, 25. Mai 2006

zurück . . . .

PC Schutz

Gratis-Produkte

Beliebteste Produkte

Alle Produkte

Bundle-Lösungen

Arbeitsplatzrechner

Server

Bundle-Lösungen

Mail Gateways

Web Gateways

Kollaborationsplattformen

Für Privatanwender

Für Unternehmen

Virenlabor

Mehr Support

Avira Partner werden

Für Privatanwender

Für Unternehmen

Sie möchten das Produkt nur testen?

Handbücher und Tools