Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Brontok.N.1
Entdeckt am:25/03/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:43.520 Bytes
MD5 Prfsumme:077fc28e71343d70bf08958b641be113
VDF Version:6.34.00.97 - Samstag, 25. März 2006
IVDF Version:6.34.00.97 - Samstag, 25. März 2006

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Rontokbro.U@mm
   •  Kaspersky: Email-Worm.Win32.Brontok.n
   •  TrendMicro: WORM_RONTOKBR.AT
   •  Sophos: W32/Brontok-AE
   •  Bitdefender: Win32.Brontok.AF@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Blockiert Zugriff auf verschiedene Webseiten
   • Blockiert Zugriff auf Webseiten von Sicherheitsfirmen
   • Terminierung von Sicherheitsprogrammen
   • Ldt Dateien herunter
   • Verfgt ber eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • nderung an der Registry


Nach Aktivierung werden folgende Informationen angezeigt:



 Dateien Kopien seiner selbst werden hier erzeugt:
   • %HOME%\Local Settings\Application Data\dv%mehrere beliebige Ziffern%x\yesbron.com
   • %SYSDIR%\c_%mehrere beliebige Ziffern%k.com
   • %SYSDIR%\n%mehrere beliebige Ziffern%\csrss.exe
   • %SYSDIR%\n%mehrere beliebige Ziffern%\smss.exe
   • %SYSDIR%\n%mehrere beliebige Ziffern%\winlogon.exe
   • %SYSDIR%\n%mehrere beliebige Ziffern%\services.exe
   • %SYSDIR%\n%mehrere beliebige Ziffern%\sv%mehrere beliebige Ziffern%.exe
   • %SYSDIR%\n%mehrere beliebige Ziffern%\b%mehrere beliebige Ziffern%.exe
   • %SYSDIR%\n%mehrere beliebige Ziffern%\ib%mehrere beliebige Ziffern%.exe
   • %WINDIR%\j%mehrere beliebige Ziffern%.exe
   • %WINDIR%\o%mehrere beliebige Ziffern%.exe
   • %WINDIR%\_default%mehrere beliebige Ziffern%.pif
   • %HOME%\Local Settings\Application Data\jalak-%mehrere beliebige Ziffern%-bali.com



Es werden folgende Verzeichnisse erstellt:
   • %SYSDIR%\n%mehrere beliebige Ziffern%
   • %SYSDIR%\n%mehrere beliebige Ziffern%\Spread.Mail.Bro
   • %SYSDIR%\n%mehrere beliebige Ziffern%\Spread.Sent.Bro
   • %HOME%\Local Settings\Application Data\dv%mehrere beliebige Ziffern%x



Es werden folgende Dateien erstellt:

– Dateien welche gesammelte Email Adressen enthalten:
   • %SYSDIR%\n%mehrere beliebige Ziffern%\Spread.Mail.Bro\%gesammelte Email Adressen%.ini
   • %SYSDIR%\n%mehrere beliebige Ziffern%\Spread.Sent.Bro\%gesammelte Email Adressen%.ini

– Dateien fr temporren Gebrauch. Diese werden mglicherweise wieder gelscht.
   • %SYSDIR%\n%mehrere beliebige Ziffern%\domlist.txt
   • %SYSDIR%\n%mehrere beliebige Ziffern%\getdomlist.txt

%Wurzelverzeichnis des Systemlaufwerks%\Baca Bro !!!.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • BRONTOK.C[22]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     Romdil = Tukang Jiplak = Nothing !!!
     Nobron & Romdil -->> Kicked by The Amazing Brontok
     [ By JowoBot ]

%SYSDIR%\n%mehrere beliebige Ziffern%\c.bron.tok.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Brontok.C
     By:JowoBot

%WINDIR%\tasks\at1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausfhrt.
%WINDIR%\tasks\at2.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausfhrt.



Es wird versucht die folgenden Dateien herunterzuladen:

Die URL ist folgende:
   • http://www.net4free.org/Arts/bddwyrk/**********
Diese wird lokal gespeichert unter: %SYSDIR%\n%mehrere beliebige Ziffern%\sv%mehrere beliebige Ziffern%r.exeupi22xbm.ini

Die URL ist folgende:
   • http://debuging.com/WS1/cgi/**********
Diese wird lokal gespeichert unter: %SYSDIR%\n%mehrere beliebige Ziffern%\svt%Nummer%sj.tok

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "A%mehrere beliebige Ziffern%r"="%WINDIR%\j%mehrere beliebige Ziffern%.exe"



Die Werte der folgenden Registry keys werden gelscht:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus-
   • Bron-Spizaetus-4713XPPM

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus
   • Tok-Cirrhatus-%mehrere beliebige Ziffern%adrc
   • Tok-Cirrhatus-%mehrere beliebige Ziffern%

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-%mehrere beliebige Ziffern%adrc
   • brl



Folgende Registryschlssel werden hinzugefgt:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • "y%mehrere beliebige Ziffern%adr"="%user settings%\Application Data\dv%mehrere beliebige Ziffern%x\yesbron.com"

[HKCU\Software\Brontok]
   • "Version"="Brontok.C[22]"
   • "Developer"="JowoBot
   • VM Community"
   • "Released"="09-03-06"
   • "Message"=Look @ "C:\Baca Bro !!!.txt"
   • "Dedicated 2"="Spizaetus Cirrhatus"



Folgende Registryschlssel werden gendert:

Deaktivieren von Regedit und Task Manager:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableRegistryTools"=dword:00000001

Verschiedenste Einstellungen des Explorers:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="c_%mehrere beliebige Ziffern%k.com"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
     "Userinit"="%SYSDIR%\userinit.exe"
   Neuer Wert:
   • "Shell"=Explorer.exe "%WINDIR%\o%mehrere beliebige Ziffern%.exe"
     "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\j%mehrere beliebige Ziffern%.exe"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:


Von:
Der Absender der Email ist einer der folgenden:
   • jennifer_sh@%Domain Name der Emailadresse des Empfngers%
   • angelina_ph@%Domain Name der Emailadresse des Empfngers%


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
– Generierte Adressen


Betreff:
Eine der folgenden:
   • My Best Photo
   • Fotoku yg Paling Cantik



Body:
Der Body der Email ist einer der folgenden:

   • I want to share my photo with you.
     Wishing you all the best.
     Regards,

   • Aku lg iseng aja pengen kirim foto ke kamu.
     Jangan lupain aku ya !.
     Thanks,


Dateianhang:
Der Ihnalt dieser Datei ist keine Kopie seiner selbst aber enthlt anderen Schadcode. Eine Beschreibung findet sich hier: TR/Dldr.Small.coc.1

Der Dateiname des Anhangs ist folgender:
   • Picture.zip



Die Email sieht wie folgt aus:


 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • PPT; XLS; CFM; PHP; ASP; WAB; EML; CSV; HTML; HTM; DOC; TXT


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST; NETWORK; SOURCE;
      PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT; PANDA; NORMAN;
      NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT; AVG; LINUX;
      CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE; UPDATE;
      DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID; .AC.ID;
      .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO; TELKOM; PLASA
      


MX Server:
Es besitzt die Fhigkeit folgende MX Server zu kontaktieren:
   • ns1.
   • mail.
   • smtp.

 Hosts Die hosts Datei wird wie folgt gendert:

In diesem Fall werden die bestehenden Eintrge gelscht.

Zugriffe auf folgende Domains wird erfolgreich unterbunden:
   • mcafee.com; www.mcafee.com; mcafee.net; www.mcafee.net; mcafee.org;
      www.mcafee.org; mcafeesecurity.com; www.mcafeesecurity.com;
      mcafeesecurity.net; www.mcafeesecurity.net; mcafeesecurity.org;
      www.mcafeesecurity.org; mcafeeb2b.com; www.mcafeeb2b.com;
      mcafeeb2b.net; www.mcafeeb2b.net; mcafeeb2b.org; www.mcafeeb2b.org;
      nai.com; www.nai.com; nai.net; www.nai.net; nai.org; www.nai.org;
      vil.nai.com; www.vil.nai.com; vil.nai.net; www.vil.nai.net;
      vil.nai.org; www.vil.nai.org; grisoft.com; www.grisoft.com;
      grisoft.net; www.grisoft.net; grisoft.org; www.grisoft.org;
      kaspersky-labs.com; www.kaspersky-labs.com; kaspersky-labs.net;
      www.kaspersky-labs.net; kaspersky-labs.org; www.kaspersky-labs.org;
      kaspersky.com; www.kaspersky.com; kaspersky.net; www.kaspersky.net;
      kaspersky.org; www.kaspersky.org; downloads1.kaspersky-labs.com;
      www.downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.net;
      www.downloads1.kaspersky-labs.net; downloads1.kaspersky-labs.org;
      www.downloads1.kaspersky-labs.org; downloads2.kaspersky-labs.com;
      www.downloads2.kaspersky-labs.com; downloads2.kaspersky-labs.net;
      www.downloads2.kaspersky-labs.net; downloads2.kaspersky-labs.org;
      www.downloads2.kaspersky-labs.org; downloads3.kaspersky-labs.com;
      www.downloads3.kaspersky-labs.com; downloads3.kaspersky-labs.net;
      www.downloads3.kaspersky-labs.net; downloads3.kaspersky-labs.org;
      www.downloads3.kaspersky-labs.org; downloads4.kaspersky-labs.com;
      www.downloads4.kaspersky-labs.com; downloads4.kaspersky-labs.net;
      www.downloads4.kaspersky-labs.net; downloads4.kaspersky-labs.org;
      www.downloads4.kaspersky-labs.org; download.mcafee.com;
      www.download.mcafee.com; download.mcafee.net; www.download.mcafee.net;
      download.mcafee.org; www.download.mcafee.org; norton.com;
      www.norton.com; norton.net; www.norton.net; norton.org;
      www.norton.org; symantec.com; www.symantec.com; symantec.net;
      www.symantec.net; symantec.org; www.symantec.org;
      liveupdate.symantecliveupdate.com;
      www.liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.net;
      www.liveupdate.symantecliveupdate.net;
      liveupdate.symantecliveupdate.org;
      www.liveupdate.symantecliveupdate.org; liveupdate.symantec.com;
      www.liveupdate.symantec.com; liveupdate.symantec.net;
      www.liveupdate.symantec.net; liveupdate.symantec.org;
      www.liveupdate.symantec.org; update.symantec.com;
      www.update.symantec.com; update.symantec.net; www.update.symantec.net;
      update.symantec.org; www.update.symantec.org;
      securityresponse.symantec.com; www.securityresponse.symantec.com;
      securityresponse.symantec.net; www.securityresponse.symantec.net;
      securityresponse.symantec.org; www.securityresponse.symantec.org;
      sarc.com; www.sarc.com; sarc.net; www.sarc.net; sarc.org;
      www.sarc.org; vaksin.com; www.vaksin.com; vaksin.net; www.vaksin.net;
      vaksin.org; www.vaksin.org; forum.vaksin.com; www.forum.vaksin.com;
      forum.vaksin.net; www.forum.vaksin.net; forum.vaksin.org;
      www.forum.vaksin.org; norman.com; www.norman.com; norman.net;
      www.norman.net; norman.org; www.norman.org; trendmicro.com;
      www.trendmicro.com; trendmicro.net; www.trendmicro.net;
      trendmicro.org; www.trendmicro.org; trendmicro-europe.com;
      www.trendmicro-europe.com; trendmicro-europe.net;
      www.trendmicro-europe.net; trendmicro-europe.org;
      www.trendmicro-europe.org; ae.trendmicro-europe.com;
      www.ae.trendmicro-europe.com; ae.trendmicro-europe.net;
      www.ae.trendmicro-europe.net; ae.trendmicro-europe.org;
      www.ae.trendmicro-europe.org; it.trendmicro-europe.com;
      www.it.trendmicro-europe.com; it.trendmicro-europe.net;
      www.it.trendmicro-europe.net; it.trendmicro-europe.org;
      www.it.trendmicro-europe.org; secunia.com; www.secunia.com;
      secunia.net; www.secunia.net; secunia.org; www.secunia.org;
      winantivirus.com; www.winantivirus.com; winantivirus.net;
      www.winantivirus.net; winantivirus.org; www.winantivirus.org;
      pandasoftware.com; www.pandasoftware.com; pandasoftware.net;
      www.pandasoftware.net; pandasoftware.org; www.pandasoftware.org;
      esafe.com; www.esafe.com; esafe.net; www.esafe.net; esafe.org;
      www.esafe.org; f-secure.com; www.f-secure.com; f-secure.net;
      www.f-secure.net; f-secure.org; www.f-secure.org; europe.f-secure.com;
      www.europe.f-secure.com; europe.f-secure.net; www.europe.f-secure.net;
      europe.f-secure.org; www.europe.f-secure.org; bhs.com; www.bhs.com;
      bhs.net; www.bhs.net; bhs.org; www.bhs.org; datafellows.com;
      www.datafellows.com; datafellows.net; www.datafellows.net;
      datafellows.org; www.datafellows.org; cheyenne.com; www.cheyenne.com;
      cheyenne.net; www.cheyenne.net; cheyenne.org; www.cheyenne.org;
      ontrack.com; www.ontrack.com; ontrack.net; www.ontrack.net;
      ontrack.org; www.ontrack.org; sands.com; www.sands.com; sands.net;
      www.sands.net; sands.org; www.sands.org; sophos.com; www.sophos.com;
      sophos.net; www.sophos.net; sophos.org; www.sophos.org; icubed.com;
      www.icubed.com; icubed.net; www.icubed.net; icubed.org;
      www.icubed.org; perantivirus.com; www.perantivirus.com;
      perantivirus.net; www.perantivirus.net; perantivirus.org;
      www.perantivirus.org; castlecops.com; www.castlecops.com;
      castlecops.net; www.castlecops.net; castlecops.org;
      www.castlecops.org; virustotal.com; www.virustotal.com;
      virustotal.net; www.virustotal.net; virustotal.org;
      www.virustotal.org; free-av.com; www.free-av.com; free-av.net;
      www.free-av.net; free-av.org; www.free-av.org; antivirus.com;
      www.antivirus.com; antivirus.net; www.antivirus.net; antivirus.org;
      www.antivirus.org; anti-virus.com; www.anti-virus.com; anti-virus.net;
      www.anti-virus.net; anti-virus.org; www.anti-virus.org; ca.com;
      www.ca.com; ca.net; www.ca.net; ca.org; www.ca.org; fajarweb.com;
      www.fajarweb.com; fajarweb.net; www.fajarweb.net; fajarweb.org;
      www.fajarweb.org; jasakom.com; www.jasakom.com; jasakom.net;
      www.jasakom.net; jasakom.org; www.jasakom.org; backup.grisoft.com;
      www.backup.grisoft.com; backup.grisoft.net; www.backup.grisoft.net;
      backup.grisoft.org; www.backup.grisoft.org; infokomputer.com;
      www.infokomputer.com; infokomputer.net; www.infokomputer.net;
      infokomputer.org; www.infokomputer.org; playboy.com; www.playboy.com;
      playboy.net; www.playboy.net; playboy.org; www.playboy.org;
      sex-mission.com; www.sex-mission.com; sex-mission.net;
      www.sex-mission.net; sex-mission.org; www.sex-mission.org;
      pornstargals.com; www.pornstargals.com; pornstargals.net;
      www.pornstargals.net; pornstargals.org; www.pornstargals.org;
      kaskus.com; www.kaskus.com; kaskus.net; www.kaskus.net; kaskus.org;
      www.kaskus.org; 17tahun.com; www.17tahun.com; 17tahun.net;
      www.17tahun.net; 17tahun.org; www.17tahun.org; padinet.com;
      www.padinet.com; padinet.net; www.padinet.net; padinet.org;
      www.padinet.org; jeruk.padinet.com; www.jeruk.padinet.com;
      jeruk.padinet.net; www.jeruk.padinet.net; jeruk.padinet.org;
      www.jeruk.padinet.org; compactbyte.com; www.compactbyte.com;
      compactbyte.net; www.compactbyte.net; compactbyte.org;
      www.compactbyte.org; blog.compactbyte.com; www.blog.compactbyte.com;
      blog.compactbyte.net; www.blog.compactbyte.net; blog.compactbyte.org;
      www.blog.compactbyte.org; blogs.compactbyte.com;
      www.blogs.compactbyte.com; blogs.compactbyte.net;
      www.blogs.compactbyte.net; blogs.compactbyte.org;
      www.blogs.compactbyte.org




Die modifizierte Host Datei sieht wie folgt aus:


 Prozess Beendigung Prozesse mit einer der folgenden Zeichenketten werden beendet:
   • ahnlab; peid; nod32; hijack; sysinter; aladdin; panda; trend; cillin;
      mcaf; avast; bitdef; machine; movzx; kill; washer; remove; wscript;
      diary; untukmu; kangen; sstray; Alicia; Mariana; Dian; foto; zlh;
      Anti; mspatch; siti; virus; services.com; ctfmon; nopdb; opscan;
      vptray; update; lexplorer; iexplorer; nipsvc; njeeves; cclaw; nvcoas;
      aswupdsv; ashmaisv; systray; riyani; xpshare; syslove; tskmgr; ccapps;
      ash; avg; poproxy; mcv

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • peid; task view; telanjang; bugil; cewe; naked; porn; sex; alwil;
      wintask; folder option; b.e; worm; trojan; avira; windows script;
      commander; pc-media; killer; ertanto; anti; CLEANER; REMOVER; PROCESS
      EXP; SYSINTERNAL; killbox; scheduled task; computer management;
      cmd.exe; group policy; system configuration; command prompt; registry;
      baca bro !!!; task manager; google.com; up22ngk
      


 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 25. Juli 2006
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 26. Juli 2006

zurück . . . .