Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/VB.ay.2
La date de la dcouverte:05/10/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:81.920 Octets
Somme de contrle MD5:902792c0116adf49f55f111e82c81db0
Version VDF:6.32.00.60

 Gnral Mthode de propagation:
   • Email
   • Le rseau local


Les alias:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge un fichier malveillant
   • Il emploie son propre moteur de courrier lectronique
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Il crase un fichier.
%lecteur systme racine%\autoexec.bat

Avec le contenu suivant:
   • pause




Le fichier suivant est cr:

%WINDIR%\Tasks\At1 Ensuite, il est excut aprs avoir t completment cre. Le fichier est une application planifie laquelle effectue le Malware avec un date prdfinie.



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • http://www.geocities.com/jowobot456/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations. Employ pour cacher un processus.

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Les cls de registre suivantes sont changes:

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   L'ancienne valeur:
   • "DisableCMD"=%rglages dfinis par l'utilisateur%
   • "DisableRegistryTools"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Diffrents rglages pour Explorer:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   L'ancienne valeur:
   • "NoFolderOptions"=%rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est le suivant:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Pice jointe:
Le nom de fichier de l'attachement est:
   • Kangen.exe

L'attachement est une copie du malware lui-mme.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • smtp.
   • mail.
   • ns1.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise:


Il recherche tous les dossiers partags.

   En cas de succs, le fichier suivant est cr:
   • %tous les dossiers partags%.exe

   Ces fichiers sont copies du Malware.

 DoS Immdiatement aprs il devient actif, il commence un attaque DoS vers les destinations suivantes:
   • israel.gov.il
   • playboy.com

 Dtails de fichier Langage de programmation:
Le fichier a t crit en Visual Basic.

Description insérée par Irina Boldea le jeudi 25 mai 2006
Description mise à jour par Irina Boldea le jeudi 25 mai 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.