Need help? Ask the community or hire an expert.
Go to Avira Answers
Virus:Worm/Brontok.AH
Date discovered:08/02/2007
Type:Worm
In the wild:Yes
Reported Infections:Low to medium
Distribution Potential:Low
Damage Potential:Low to medium
Static file:Yes
File size:335.872 Bytes
MD5 checksum:e5289f7c1ab17cfe7244eac16d7209ab
IVDF version:6.37.01.60 - Thursday, February 8, 2007

 General Aliases:
   •  Mcafee: W32/Rontokbro.gen
   •  Sophos: W32/Brontok-B
   •  Bitdefender: Trojan.VB.AutoRun.T
   •  Panda: W32/Brontok.JK.worm
   •  Eset: Win32/Brontok.BW


Platforms / OS:
   • Windows 2000
   • Windows XP
   • Windows 2003


Side effects:
   • Downloads a malicious file
   • Drops malicious files
   • Registry modification

 Files It copies itself to the following locations:
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %SYSDIR%\2D Animation.scr
   • %HOME%\Templates\A.yaresoJ.com
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %WINDIR%\INF\esoJray.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Start Menu\Programs\Startup\index.pif
   • %HOME%\Local Settings\Application Data\inetinfo.exe



It overwrites a file.
C:\autoexec.bat



The following file is created:

%HOME%\Local Settings\Application Data\Update.3.Jose.ray.bin



It tries to download a file:

The location is the following:
   • http://www.geocities.com/jowobot123/**********




It tries to executes the following files:

Filename:
   • explorer.exe


Filename:
   • "%HOME%\Local Settings\Application Data\smss.exe"


Filename:
   • "%HOME%\Local Settings\Application Data\winlogon.exe"


Filename:
   • at /delete /y


Filename:
   • at 17:08 /every:M,T,W,Th,F,S,Su "%HOME%\Templates\A.yaresoJ.com"


Filename:
   • "%HOME%\Local Settings\Application Data\services.exe"


Filename:
   • "%HOME%\Local Settings\Application Data\lsass.exe"


Filename:
   • "%HOME%\Local Settings\Application Data\inetinfo.exe"

 Registry The following registry keys are added in order to run the processes after reboot:



The following registry keys are added:

[HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD"=dword:0x00000000
   • "DisableRegistryTools"=dword:0x00000001

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001



The following registry keys are changed:

[HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   New value:
   • "Locked"=dword:0x00000001

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   New value:
   • "ITBarLayout"=hex:b'\x11\x00\x00\x00L\x00\x00\x00\x00\x00\x00\x004\x00\x00\x00\x1b\x00\x00\x00N\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\xa0\x0f\x00\x00\x05\x00\x00\x00b\x05\x00\x00&\x00\x00\x00\x02\x00\x00\x00!\x07\x00\x00\xa0\x0f\x00\x00\x04\x00\x00\x00!\x01\x00\x00\xa0\x0f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
   New value:
   • "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:b'\x81E\xe0\x01\xeeN\xd0\x11\xbf\xe9\x00\xaa\x00[C\x83\x10\x00\x00\x00\x00\x00\x00\x00\x01\xe02\xf4\x01\x00\x00\x00'

 File details Programming language:
The malware program was written in Visual Basic.

Description inserted by Petre Galan on Friday, July 23, 2010
Description updated by Petre Galan on Friday, July 23, 2010

Back . . . .