Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/VB.ay.2
La date de la découverte:05/10/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:81.920 Octets
Somme de contrôle MD5:902792c0116adf49f55f111e82c81db0
Version VDF:6.32.00.60

 Général Méthode de propagation:
   • Email
   • Le réseau local


Les alias:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il télécharge un fichier malveillant
   • Il emploie son propre moteur de courrier électronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Il écrase un fichier.
%lecteur système racine%\autoexec.bat

Avec le contenu suivant:
   • pause




Le fichier suivant est créé:

%WINDIR%\Tasks\At1 Ensuite, il est exécuté après avoir été completment crée. Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • http://www.geocities.com/jowobot456/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations. Employé pour cacher un processus.

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Les clés de registre suivantes sont changées:

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableCMD"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Différents réglages pour Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   L'ancienne valeur:
   • "NoFolderOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est le suivant:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Pièce jointe:
Le nom de fichier de l'attachement est:
   • Kangen.exe

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • smtp.
   • mail.
   • ns1.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise:  


Il recherche tous les dossiers partagés.

   En cas de succès, le fichier suivant est créé:
   • %tous les dossiers partagés%.exe

   Ces fichiers sont copies du Malware.

 DoS Immédiatement après il devient actif, il commence un attaque DoS vers les destinations suivantes:
   • israel.gov.il
   • playboy.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en Visual Basic.

Description insérée par Irina Boldea le jeudi 25 mai 2006
Description mise à jour par Irina Boldea le jeudi 25 mai 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.