Name:Worm/Brontok.W.A
Entdeckt am:21/08/2006
Art:Worm
In freier Wildbahn:Nein
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel
Schadenspotenzial:Niedrig bis mittel
Statische Datei:Ja
Dateigröße:98.304 Bytes
MD5 Prüfsumme:892f49387317b9cf8a70dad3595db4e3
VDF Version:6.36.00.51
IVDF Version:6.36.00.62 - Dienstag, 26. September 2006

 General Verbreitungsmethode:
   • Lokales Netzwerk


Aliases:
   •  Symantec: Hacktool.Spammer
   •  Kaspersky: Email-Worm.Win32.Brontok.w
   •  F-Secure: Email-Worm.Win32.Brontok.w
   •  Sophos: W32/Brontok-BO
   •  Grisoft: SpamTool.GW
   •  Bitdefender: Win32.Brontok.AM@mm

Wurde zuvor wie folgt erkannt:
   •  SPR/Spam.VB.aqn


Betriebsysteme:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Erstellt Dateien
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Kr0n1C.exe
   • C:\Kr0n1C.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • C:\Kr0n1C\New Folder.exe
   • C:\Data %aktueller Benutzernamen%.exe
   • C:\Data LocalService.exe
   • %aktuelles Verzeichnis%\%aktueller Verzeichnisname%.exe



Es wird folgendes Verzeichnis erstellt:
   • C:\Kr0n1C



Es werden folgende Dateien erstellt:

– C:\Puisi.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Kr0n1C
     
     Tertatihku Meratap Perih
     Insan Hidup Terasa Mati
     Dan Bahagiapun Sirna Seiring Waktu
     Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
     
     Ini Semua Karena Dirimu
     Yang Selalu Mengiris Hatiku
     
     Hari Ini Aku Tetap Menanti
     Hadirmu Walau Hanya Mimpi
     
     Dan Kini Telah Kusadari
     Dirimu Hanya Ingin Menyakitiku
     Hadirmu Hanya Akan Binasakanku
     Saat Ini Dan Sampai Alam Yang Abadi
     
     
      Cyber.nu

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Kr0n1C"="%WINDIR%\Kr0n1C.exe"
   • "Service%aktueller Benutzernamen%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%aktueller Benutzernamen%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"
   • "LogonLocalService"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"



Folgende Registryschlüssel werden geändert:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Alter Wert:
   • "AlternateShell"="cmd.exe"
   Neuer Wert:
   • "AlternateShell"="%WINDIR%\Kr0n1C.exe"

– [HKCR\comfile\shell\open\command]
   Alter Wert:
   • @="%1" %*
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   Alter Wert:
   • @="%1" %*
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   Alter Wert:
   • @="%1" %*
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\lnkfile\shell\open\command]
   Alter Wert:
   • @="%1" %*
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile\shell\open\command]
   Alter Wert:
   • @="%1" %*
   Neuer Wert:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile]
   Alter Wert:
   • @="Application"
   Neuer Wert:
   • @="File Folder"

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Alter Wert:
   • "Hidden"=%Einstellungen des Benutzers%
   • "HideFileExt"=%Einstellungen des Benutzers%
   • "ShowSuperHidden"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   Alter Wert:
   • "SCRNSAVE.EXE"=%Einstellungen des Benutzers%
   • "ScreenSaverIsSecure"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"
   • "ScreenSaverIsSecure"="0"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Alter Wert:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Neuer Wert:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

Verschiedenste Einstellungen des Explorers:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Alter Wert:
   • "NoFolderOptions"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Alter Wert:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Neuer Wert:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Deaktivieren von Regedit und Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Alter Wert:
   • "DisableCMD"=%Einstellungen des Benutzers%
   • "DisableTaskMgr"=%Einstellungen des Benutzers%
   • "DisableRegistryTools"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Alter Wert:
   • "DisableConfig"=%Einstellungen des Benutzers%
   • "DisableSR"=%Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Neuer Wert:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Neuer Wert:
   • "FullPath"=dword:00000001

 Prozess Beendigung Prozesse mit einem der folgenden Fensternamen werden beendet:
   • TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
      RegEdit; Registry Editor; Folder Options; Local Settings


 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in Visual Basic geschrieben.

Die Beschreibung wurde erstellt von Adriana Popa am Dienstag, 19. September 2006
Die Beschreibung wurde geändert von Adriana Popa am Freitag, 22. September 2006

zurück . . . .