Name:Worm/Rontok.C
Entdeckt am:12/10/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Niedrig
Verbreitungspotenzial:Mittel bis hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigröße:81.920 Bytes
MD5 Prüfsumme:8e794320563be58a0Bd69f10a351d5c8
VDF Version:6.32.00.78

 General Verbreitungsmethoden:
   • Email
   • Peer to Peer


Aliases:
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.D
   •  Sophos: W32/Brontok-A
   •  Grisoft: I-Worm/VB.FD
   •  VirusBuster: I-Worm.VB.DFN
   •  Eset: Win32/Brontok.A
   •  Bitdefender: Win32.Worm.Rontok.C


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Lädt Dateien herunter
   • Verfügt über eigene Email Engine
   • Setzt Sicherheitseinstellungen herunter
   • Änderung an der Registry

 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\ShellNew\ElnorB.exe
   • %SYSDIR%\%aktueller Benutzernamen%'s Setting.scr
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Templates\bararontok.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com



Folgende Datei wird gelöscht:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%aktueller Benutzernamen%.com



Es werden folgende Dateien erstellt:

– %HOME%\Local Settings\Application Data\Bron.tok-4-7\%gesammelte Email Adressen%.ini Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– C:\autoexec.bat Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
   • pause

%WINDIR%\Tasks\At1.job Die Datei ist ein geplanter Task welche die Malware zu einem vordefinierten Zeitpunkt ausführt.



Es wird versucht die folgenden Dateien herunterzuladen:

– Die URL ist folgende:
   • www.geocities.com/sdotlobxp/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

– Die URL ist folgende:
   • www.geocities.com/sdotlobxp/**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfügbar.

 Registry Die folgenden Registryschlüssel werden hinzugefügt um die Prozesse nach einem Neustart des Systems erneut zu starten.

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%vierstellige zufällige Buchstabenkombination%" = ""%HOME%\Local Settings\Application Data\bron%vierstellige zufällige Buchstabenkombination%on.exe""



Folgende Registryschlüssel werden geändert:

Deaktivieren von Regedit und Task Manager:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   Alter Wert:
   • "DisableCMD" = %Einstellungen des Benutzers%
   • "DisableRegistryTools" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Alter Wert:
   • "NoFolderOptions" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "NoFolderOptions" = dword:00000001

Verschiedenste Einstellungen des Explorers:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Alter Wert:
   • "ShowSuperHidden" =%Einstellungen des Benutzers%
   • "HideFileExt" = %Einstellungen des Benutzers%
   • "Hidden" = %Einstellungen des Benutzers%
   Neuer Wert:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Die Malware verfügt über eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgeführt:


Von:
Die Absenderadresse wurde gefälscht.


An:
– Email Adressen welche in ausgewählten Dateien auf dem System gefunden wurden.
– Gesammelte Email Adressen aus WAB (Windows Addressbuch)


Betreff:
Die Betreffzeile ist leer.


Body:
Der Body der Email ist folgender:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah


Dateianhang:
Der Dateiname des Anhangs ist folgender:
   • kangen.exe

Der Dateianhang ist eine Kopie der Malware.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Anfügen von MX Zeichenketten:
Um die IP Adresse des Emailservers zu bekommen werden folgende Zeichenketten dem Domain Namen vorgesetzt:
   • smtp.
   • mail.
   • ns1.

 P2P Um weitere Systeme im Peer to Peer Netzwerk zu infizieren wird folgendes unternommen: Es wird nach allen freigegebenen Verzeichnissen gesucht.

   War die Suche erfolgreich so wird folgende Datei erstellt:
   • %alle freigegebenen Verzeichnisse%.exe

   Diese Dateien sind Kopien der eigenen Malware Datei

 Prozess Beendigung Liste der Prozesse die beendet werden:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Prozesse mit einem der folgenden Fensternamen werden beendet:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Direkt nachdem die Malware gestartet wurde werden DoS Attacken gegen folgende Ziele gestartet:
   • israel.gov.il
   • playboy.com

 Datei Einzelheiten Programmiersprache:
 Das Malware-Programm wurde in MS Visual C++ geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 7. November 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 7. November 2006

zurück . . . .