Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Brontok.a
La date de la dcouverte:14/10/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:42.065 Octets
Somme de contrle MD5:c51a426d90af0Cdcb97c10bb4ea12696
Version VDF:6.32.00.84

 Gnral Mthode de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Symantec: W32.Rontokbro@mm
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  TrendMicro: WORM_RONTKBR.B
   •  Grisoft: I-Worm/VB.GG
   •  VirusBuster: I-Worm.Brontok.CU
   •  Eset: Win32/Brontok.T
   •  Bitdefender: Win32.Brontok.AO@mm


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%le nom d'utilisateur courant%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%chane de caractres alatoire de quatre digits%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%chane de caractres alatoire de cinq digits%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%le nom d'utilisateur courant%.com



Il supprime le fichier suivant:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%le nom d'utilisateur courant%.com



Les fichiers suivants sont crs:

%HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\%adresses email re?colte?es%.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

%WINDIR%\Tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prdfinie.



Il essaie de tlcharger un ficher:

L'emplacement est le suivant:
   • www.geocities.com/stabro7ok/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre La cl de registre suivante est ajoute afin de lancer le processus aprs le redmarrage:

HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%chane de caractres alatoire de quatre digits%" = ""%HOME%\Local Settings\Application Data\bron%chane de caractres alatoire de quatre digits%on.exe""



La cl de registre suivante est ajoute:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



Les cls de registre suivantes sont changes:

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
HKCU\software\microsoft\windows\currentversion\Policies\System
   L'ancienne valeur:
   • "DisableCMD" = %rglages dfinis par l'utilisateur%
   • "DisableRegistryTools" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Diffrents rglages pour Explorer:
HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   L'ancienne valeur:
   • "NoFolderOptions" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions" = dword:00000001

Diffrents rglages pour Explorer:
HKCU\software\microsoft\windows\currentversion\explorer\advanced
   L'ancienne valeur:
   • "ShowSuperHidden" =%rglages dfinis par l'utilisateur%
   • "HideFileExt" = %rglages dfinis par l'utilisateur%
   • "Hidden" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est le suivant:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


Pice jointe:
Le nom de fichier de l'attachement est construit de ce qui suit:

–  Il commence avec un des suivants:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    Continu par une des extensions fausses suivantes :
   • .doc
   • .xls

    L'extension du fichier est une des suivantes:
   • .exe

L'attachement est une copie du malware lui-mme.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • smtp.
   • mail.
   • ns1.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise: Il recherche tous les dossiers partags.

   En cas de succs, le fichier suivant est cr:
   • %tous les dossiers partags%.exe

   Ces fichiers sont copies du Malware.

 Arrt de processus: La liste des processus qui sont termins:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Les processus contenant un des titres de fentre suivants sont arrts:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Immdiatement aprs il devient actif, il commence un attaque DoS vers les destinations suivantes:
   • kaskus.com
   • tahun.com

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le mercredi 30 août 2006
Description mise à jour par Irina Boldea le mercredi 6 septembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.