Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Brontok.E.1
La date de la découverte:30/12/2005
Type:Ver
En circulation:Oui
Infections signalées Faible
Potentiel de distribution:Moyen à élevé
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:44.507 Octets
Somme de contrôle MD5:9813ddb49dfc6fa115f28e3f48287d3b
Version VDF:6.33.00.85

 Général Méthode de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  VirusBuster: Worm.Brontok.BX
   •  Eset: Win32/Brontok.AX


Plateformes / Systèmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier électronique
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%le nom d'utilisateur courant%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%chaîne de caractères aléatoire de quatre digits%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%chaîne de caractères aléatoire de cinq digits%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%le nom d'utilisateur courant%.com



Il supprime le fichier suivant:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%le nom d'utilisateur courant%.com



Les fichiers suivants sont créés:

– %HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\collected email addresses%.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

%WINDIR%\Tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prédéfinie.



Il essaie de télécharger un ficher:

– L'emplacement est le suivant:
   • www.geocities.com/stabro7ok/**********
Au moment de l'écriture, ce fichier n'était pas en ligne pour plus d'investigations.

 Registre La clé de registre suivante est ajoutée afin de lancer le processus après le redémarrage:

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%chaîne de caractères aléatoire de quatre digits%" = ""%HOME%\Local Settings\Application Data\bron%chaîne de caractères aléatoire de quatre digits%on.exe""



La clé de registre suivante est ajoutée:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



Les clés de registre suivantes sont changées:

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– HKCU\software\microsoft\windows\currentversion\Policies\System
   L'ancienne valeur:
   • "DisableCMD" = %réglages définis par l'utilisateur%
   • "DisableRegistryTools" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Différents réglages pour Explorer:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   L'ancienne valeur:
   • "NoFolderOptions" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions" = dword:00000001

Différents réglages pour Explorer:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   L'ancienne valeur:
   • "ShowSuperHidden" =%réglages définis par l'utilisateur%
   • "HideFileExt" = %réglages définis par l'utilisateur%
   • "Hidden" = %réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Il contient un moteur SMTP intégré pour envoyer des emails. Une connexion directe avec le serveur destination sera établie. Les caractéristiques sont décrites ci-dessous:


De:
L'adresse de l'expéditeur est falsifiée.


A:
– Les adresses email trouvés dans des fichiers spécifiques du système.
– les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est le suivant:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


Pièce jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    Continué par une des extensions fausses suivantes :
   • exe

    L'extension du fichier est une des suivantes:
   • .doc
   • .xls

L'attachement est une copie du malware lui-même.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Éviter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chaînes de caractères suivantes:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Ajoutez les chaînes de caractères au début de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacité d'ajouter au début du nom de domaine les chaînes de caractères suivantes:
   • smtp.
   • mail.
   • ns1.

 P2P Afin d'infecter d'autres systèmes d'exploitation dans la communauté en réseau peer-to-peer, l'action suivante est entreprise: Il recherche tous les dossiers partagés.

   En cas de succès, le fichier suivant est créé:
   • %tous les dossiers partagés%.exe

   Ces fichiers sont copies du Malware.

 Arrêt de processus: La liste des processus qui sont terminés:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Immédiatement après il devient actif, il commence un attaque DoS vers les destinations suivantes:
   • kaskus.com
   • tahun.com

 Détails de fichier Langage de programmation:
Le fichier a été écrit en MS Visual C++.


Logiciel de compression des fichiers exécutables:
Afin d'entraver la détection et de réduire la taille du fichier il est compressé avec un logiciel de compression des exécutables.

Description insérée par Irina Boldea le mercredi 19 juillet 2006
Description mise à jour par Irina Boldea le mercredi 2 août 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.