Nume:Worm/Rontok.C
Descoperit pe data de:12/10/2005
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:81.920 Bytes
MD5:8e794320563be58a0Bd69f10a351d5c8
Versiune VDF:6.32.00.78

 General Metode de raspandire:
   • Email
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.D
   •  Sophos: W32/Brontok-A
   •  Grisoft: I-Worm/VB.FD
   •  VirusBuster: I-Worm.VB.DFN
   •  Eset: Win32/Brontok.A
   •  Bitdefender: Win32.Worm.Rontok.C


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Descarca fisiere
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate
   • Modificari in registri

 Fisiere Se copiaza in urmatoarele locatii:
   • %WINDIR%\ShellNew\ElnorB.exe
   • %SYSDIR%\%numele utilizatorului curent%'s Setting.scr
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Templates\bararontok.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%numele utilizatorului curent%.com



Sterge urmatorul fisier:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%numele utilizatorului curent%.com



Sunt create fisierele:

– %HOME%\Local Settings\Application Data\Bron.tok-4-7\%adrese de email culese din sistem%.ini Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– C:\autoexec.bat Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • pause

– %WINDIR%\Tasks\At1.job Fisierul este o activitate programata care ruleaza malware-ul la ore predefinite.



Incearca sa descarce cateva fisiere:

– Adresa este urmatoarea:
   • www.geocities.com/sdotlobxp/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

– Adresa este urmatoarea:
   • www.geocities.com/sdotlobxp/**********
La momentul realizarii descrierii, acest fisier nu era disponibil pentru o analiza ulterioara.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%sir de 4 caractere aleatoare%" = ""%HOME%\Local Settings\Application Data\bron%sir de 4 caractere aleatoare%on.exe""



Urmatoarele chei din registri sunt modificate:

Dezactivarea programelor Regedit si Task Manager:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   Vechea valoare:
   • "DisableCMD" = %setarile utilizatorului%
   • "DisableRegistryTools" = %setarile utilizatorului%
   Noua valoare:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Diverse setari in Explorer:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Vechea valoare:
   • "NoFolderOptions" = %setarile utilizatorului%
   Noua valoare:
   • "NoFolderOptions" = dword:00000001

Diverse setari in Explorer:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Vechea valoare:
   • "ShowSuperHidden" =%setarile utilizatorului%
   • "HideFileExt" = %setarile utilizatorului%
   • "Hidden" = %setarile utilizatorului%
   Noua valoare:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)


Subiect:
Subiectul lipseste.


Corpul email-ului:
Corpul email-ului este:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah


Atasament:
Numele fisierului atasat este urmatorul:
   • kangen.exe

Atasamentul este o copie malware.

 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • smtp.
   • mail.
   • ns1.

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii: Cauta toate directoarele partajate in retea.

   Daca reuseste, este creat urmatorul fisier:
   • %toate directoarele share%.exe

   Aceste fişiere sunt copii ale malware-ului.

 Terminarea proceselor Lista cu procesele oprite:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS (Denial of Service) Imediat ce devine activ, porneste un atac DoS asupra urmatoarelor destinatii:
   • israel.gov.il
   • playboy.com

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Die Beschreibung wurde erstellt von Irina Boldea am Dienstag, 7. November 2006
Die Beschreibung wurde geändert von Irina Boldea am Dienstag, 7. November 2006

zurück . . . .