Name:Worm/Brontok.E.1
Entdeckt am:30/12/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:44.507 Bytes
MD5 Prüfsumme:9813ddb49dfc6fa115f28e3f48287d3b
VDF Version:6.33.00.85

 Allgemein Verbreitungsmethode:
   • Email
   • Peer to Peer


Aliases:
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  VirusBuster: Worm.Brontok.BX
   •  Eset: Win32/Brontok.AX


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%vierstellige zufällige Buchstabenkombination%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%fünfstellige zufällige Buchstabenkombination%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com



Folgende Datei wird gelöscht:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com



Es werden folgende Dateien erstellt:

– %HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\collected email addresses%.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

%WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.



Es wird versucht folgende Datei herunterzuladen:

– Die URL ist folgende:
   • www.geocities.com/stabro7ok/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%HOME%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""



Folgender Registryschlüssel wird hinzugefügt:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   Alter Wert:
   • "DisableCMD" = %Einstellungen des Benutzers%
   • "DisableRegistryTools" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Alter Wert:
   • "NoFolderOptions" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFolderOptions" = dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Alter Wert:
   • "ShowSuperHidden" =%Einstellungen des Benutzers%
   • "HideFileExt" = %Einstellungen des Benutzers%
   • "Hidden" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Die Betreffzeile ist leer.


Body:
Der Body der Email ist folgender:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


Dateianhang:
Der Dateiname des Anhangs wird aus folgenden zusammengesetzt:

–  Es beginnt mit einer der folgenden:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    Gefolgt von einer der folgenden gefälschen Dateiendungen:
   • exe

    Die Dateierweiterung ist eine der folgenden:
   • .doc
   • .xls

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • smtp.
   • mail.
   • ns1.

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen: Es wird nach allen freigegebenen Verzeichnissen gesucht.

   War die Suche erfolgreich so wird folgende Datei erstellt:
   • %alle freigegebenen Verzeichnisse%.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Direkt nachdem die Malware gestartet wurde werden DoS Attacken gegen folgende Ziele gestartet:
   • kaskus.com
   • tahun.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Mittwoch, 19. Juli 2006
Die Beschreibung wurde geändert von Irina Boldea am Mittwoch, 2. August 2006

zurück . . . .