Nom:Worm/Brontok.W.A
La date de la découverte:21/08/2006
Type:Ver
En circulation:Non
Infections signalées Faible
Potentiel de distribution:Moyen
Potentiel de destruction:Faible a moyen
Fichier statique:Oui
Taille du fichier:98.304 Octets
Somme de contrôle MD5:892f49387317b9cf8a70dad3595db4e3
Version VDF:6.36.00.51
Version IVDF:6.36.00.62 - mardi 26 septembre 2006

 Général Méthode de propagation:
   • Le réseau local


Les alias:
   •  Symantec: Hacktool.Spammer
   •  Kaspersky: Email-Worm.Win32.Brontok.w
   •  F-Secure: Email-Worm.Win32.Brontok.w
   •  Sophos: W32/Brontok-BO
   •  Grisoft: SpamTool.GW
   •  Bitdefender: Win32.Brontok.AM@mm

Avant, il était détecté comme:
   •  SPR/Spam.VB.aqn


Plateformes / Systèmes d'exploitation:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il crée des fichiers
   • Il diminue les réglages de sécurité
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\Kr0n1C.exe
   • C:\Kr0n1C.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • C:\Kr0n1C\New Folder.exe
   • C:\Data %le nom d'utilisateur courant%.exe
   • C:\Data LocalService.exe
   • %repertoire actuel%\%nom de liste actuelle%.exe



Il crée le répertoire suivant:
   • C:\Kr0n1C



Les fichiers suivants sont créés:

– C:\Puisi.txt Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Kr0n1C
     
     Tertatihku Meratap Perih
     Insan Hidup Terasa Mati
     Dan Bahagiapun Sirna Seiring Waktu
     Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
     
     Ini Semua Karena Dirimu
     Yang Selalu Mengiris Hatiku
     
     Hari Ini Aku Tetap Menanti
     Hadirmu Walau Hanya Mimpi
     
     Dan Kini Telah Kusadari
     Dirimu Hanya Ingin Menyakitiku
     Hadirmu Hanya Akan Binasakanku
     Saat Ini Dan Sampai Alam Yang Abadi
     
     
      Cyber.nu

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini

 Registre Les clés de registre suivantes sont ajoutées afin d'exécuter des processus après le redémarrage:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Kr0n1C"="%WINDIR%\Kr0n1C.exe"
   • "Service%le nom d'utilisateur courant%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%le nom d'utilisateur courant%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"
   • "LogonLocalService"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"



Les clés de registre suivantes sont changées:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   L'ancienne valeur:
   • "AlternateShell"="cmd.exe"
   La nouvelle valeur:
   • "AlternateShell"="%WINDIR%\Kr0n1C.exe"

– [HKCR\comfile\shell\open\command]
   L'ancienne valeur:
   • @="%1" %*
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   L'ancienne valeur:
   • @="%1" %*
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   L'ancienne valeur:
   • @="%1" %*
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\lnkfile\shell\open\command]
   L'ancienne valeur:
   • @="%1" %*
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile\shell\open\command]
   L'ancienne valeur:
   • @="%1" %*
   La nouvelle valeur:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile]
   L'ancienne valeur:
   • @="Application"
   La nouvelle valeur:
   • @="File Folder"

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   L'ancienne valeur:
   • "Hidden"=%réglages définis par l'utilisateur%
   • "HideFileExt"=%réglages définis par l'utilisateur%
   • "ShowSuperHidden"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   L'ancienne valeur:
   • "SCRNSAVE.EXE"=%réglages définis par l'utilisateur%
   • "ScreenSaverIsSecure"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"
   • "ScreenSaverIsSecure"="0"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   L'ancienne valeur:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   La nouvelle valeur:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

Différents réglages pour Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   L'ancienne valeur:
   • "NoFolderOptions"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   L'ancienne valeur:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   La nouvelle valeur:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Il désactive le Gestionnaire des tâches et l'éditeur de la base de registres
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   L'ancienne valeur:
   • "DisableCMD"=%réglages définis par l'utilisateur%
   • "DisableTaskMgr"=%réglages définis par l'utilisateur%
   • "DisableRegistryTools"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   L'ancienne valeur:
   • "DisableConfig"=%réglages définis par l'utilisateur%
   • "DisableSR"=%réglages définis par l'utilisateur%
   La nouvelle valeur:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   La nouvelle valeur:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   La nouvelle valeur:
   • "FullPath"=dword:00000001

 Arrêt de processus: Les processus contenant un des titres de fenêtre suivants sont arrêtés:
   • TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
      RegEdit; Registry Editor; Folder Options; Local Settings


 Détails de fichier Langage de programmation:
 Le fichier a été écrit en Visual Basic.

Description insérée par Adriana Popa le mardi 19 septembre 2006
Description mise à jour par Adriana Popa le vendredi 22 septembre 2006

Retour . . . .