Nume:Worm/Komodo
Descoperit pe data de:06/03/2006
Tip:Vierme
ITW:Da
Numar infectii raportate:Scazut
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:48.829 Bytes
MD5:1806d75a231dac7385307d888588de45
Versiune VDF:6.33.01.70

 General Metoda de raspandire:
   • Email
   • Reteaua locala


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Inchide aplicatiile de securitate
   • Descarca fisiere
   • Utilizeaza propriul motor de email
   • Reduce setarile de securitate


Imediat dupa lansarea in executie, pe ecran este afisat:



 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\n6873\smss.exe
   • %SYSDIR%\n6873\csrss.exe
   • %SYSDIR%\n6873\lsass.exe
   • %SYSDIR%\n6873\services.exe
   • %SYSDIR%\n6873\winlogon.exe
   • %WINDIR%\komodo-6262022.exe
   • %SYSDIR%\c_26202k.com
   • %SYSDIR%\n6873\sv711540830r.exe
   • %WINDIR%\cinderawasih-4262027.exe
   • %WINDIR%\_default26202.pif
   • %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com



Sunt create fisierele:

– Fisiere care contin adrese de email:
   • %SYSDIR%\n6873\Spread.Mail.Bro\%adresa destinatarului%.ini
   • %SYSDIR%\n6873\Spread.Sent.Bro\%adresa destinatarului%.ini

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\n6873\brmac.bat
   • %SYSDIR%\n6873\brdom.bat
   • %SYSDIR%\n6873\getmac.txt
   • %SYSDIR%\n6873\getdomlist.txt
   • %SYSDIR%\n6873\domlist.txt

– C:\Baca Bro !!!.txt Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • BRONTOK.C[19]
     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.
     Nobron = Satria Dungu = Nothing !!!
     [ By JowoBot ]

– %SYSDIR%\n6873\c.bron.tok.txt Acesta este un fisier text care nu prezinta pericol si are urmatorul continut:
   • Brontok.C
     By:JowoBot




Incearca sa descarce un fisier:

– Adresa este urmatoarea:
   • http://www.geocities.com/bvcbrosbl/**********
Fisierul este stocat pe hard disc la: %SYSDIR%\n6873\sv711540830r.exeupinf.ini Acest fisier poate contine si alte locatii de descarcare si poate servi ca sursa de noi amenintari.

 Registrii sistemului Urmatoarele chei sunt adaugate in registri pentru a rula procesul la repornirea sistemului:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Tok-Cirrhatus-2487namc = %SYSDIR%\n6873\sv711540830r.exe

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-2487namc = %HOME%\Local Settings\Application Data\dv6154080x\yesbron.com

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\komodo-6262022.exe

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Bron-Spizaetus-4128XPPM = %WINDIR%\_default26202.pif

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • AlternateShell = c_26202k.com



Valorile urmatoarelor chei sunt sterse din registrii sistemului:

–  [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • OSA
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-2487
   • Tok-Cirrhatus



Urmatoarele chei din registri sunt modificate:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Vechea valoare:
   • Userinit = %SYSDIR%\userinit.exe
   • Shell = Explorer.exe
   Noua valoare:
   • Userinit = %SYSDIR%\userinit.exe,%WINDIR%\komodo-6262022.exe
   • Shell = Explorer.exe "%WINDIR%\cinderawasih-4262027.exe"

Diverse setari in Explorer:
– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Vechea valoare:
   • ShowSuperHidden = %setarile utilizatorului%
   • HideFileExt = %setarile utilizatorului%
   • Hidden = %setarile utilizatorului%
   Noua valoare:
   • ShowSuperHidden = dword:00000000
   • HideFileExt = dword:00000001
   • Hidden = dword:00000000

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.


Formatul email-urilor:
 


Subiect: My Photo on Paris
Corp mesaj:
   • This photo was taken from my vacation on Paris, last week.
     Wishing you always remember me.
     Regards,
Atasament:
   • Picture.zip
 


Subiect: Foto Liburanku di Bali
Corp mesaj:
   • Halo Sobat,
     Ini fotoku saat liburan di Bali.
     Semoga kamu jadi ingat aku terus.
     Terima kasih,
Atasament:
   • Picture.zip


Atasament:

Atasamentul este o copie a malware-ului descris aici: TR/Dldr.Orangbi



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • .INI; .BAT; .PIF; .COM; .SCR; .EXE; .PPT; .XLS; .DOC; .CFM; .PHP;
      .ASP; .WAB; .EML; .CSV; .HTML; .HTM; .TXT


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • yahoo; abuse; borland; acer; compaq; torvald; trovald; detik; anony;
      coding; guru; code; script; @mm; w32; NONE; CASTLE; WINRAR; WINZIP;
      HELP; IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; .VBS; .JS; .EXE;
      .HTM; .PHP; .ASP; BILLING@; INFO@; CONTOH; EXAMPLE; SMTP; XXX; TEST;
      NETWORK; SOURCE; PROGRAM; WWW; ASDF; SOME; YOUR; BLAH; SPAM; SOFT;
      PANDA; NORMAN; NORTON; ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT;
      AVG; LINUX; CRACK; HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE;
      UPDATE; DEVELOP; VAKSIN; SATU; EMAILKU; BOLEH; GAUL; ASTAGA; .WEB.ID;
      .AC.ID; .OR.ID; .NET.ID; .SCH.ID; .MIL.ID; .GO.ID; .CO.ID; INDO;
      TELKOM; PLASA; LBS; PLD; HJT; MNE; AML; TPE; AGT; AUD; UTS; LON


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, poate adauga inaintea domeniului urmatoarele siruri de caractere:
   • ns1.
   • mail.
   • smtp.

 Reţea Pentru a-si asigura raspandirea, programul malware incearca sa contacteze alte sisteme, asa cum este descris in continuare:


Foloseste urmatoarele date de logare, pentru a controla sistemul la distanta:

– Utilizatorul:
   • %numele utilizatorului curent%



Procesul de infectare:
Fisierul descarcat este salvat pe masina infectata, cu numele: %HOME%\Local Settings\Application Data\jalak-931540815-bali.com


Activare de la distanta:
–Incearca sa activeze de la distanta malware-ul pe sistemul recent infectat. Pentru aceasta, apeleaza functia NetScheduleJobAdd.

 Terminarea proceselor Lista cu procesele oprite:
   • rundll32.exe; diary.exe; avgupsvc.exe; Alicia Keys.exe; Mariana
      Renata.exe; Dian sastro.exe; foto administrator.exe; zlh.exe;
      AntiVirus StartUp.exe; sitinurhaliza.exe; virus.exe; services.com;
      ctfmon.exe; ccapp.exe; nopdb.exe; opscan.exe; vptray.exe; winword.exe;
      update.exe; lexplorer.exe; iexplorer.exe; dkernel.exe; nipsvc.exe;
      njeeves.exe; cclaw.exe; nvcoas.exe; aswupdsv.exe; ashmaisv.exe;
      systray.exe; riyani_jangkaru.exe; xpshare.exe; tskmgr.exe;
      poproxy.exe; mcvsescn.exe; untukmu.exe; sstray.exe; syslove.exe;
      mspatch.exe; kangen.exe; ccapps.exe; avgemc.exe

Sunt inchise procesele care au titlul ferestri unul din urmatoarele:
   • washer; anti; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; movzx;
      ertanto; hijack; killbox; .exe; scheduled task; computer management;
      group policy; system configuration; command prompt; registry


 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit un program de compresie runtime.

Description insérée par Andrei Gherman le lundi 6 mars 2006
Description mise à jour par Andrei Gherman le lundi 6 mars 2006

Retour . . . .