Besoin d’aide ? Fais appel à la communauté ou embauche un spécialiste.
Aller à Avira Answers
Nom:Worm/Rontok.C
La date de la dcouverte:12/10/2005
Type:Ver
En circulation:Oui
Infections signales Faible
Potentiel de distribution:Moyen lev
Potentiel de destruction:Moyen
Fichier statique:Oui
Taille du fichier:81.920 Octets
Somme de contrle MD5:8e794320563be58a0Bd69f10a351d5c8
Version VDF:6.32.00.78

 Gnral Mthodes de propagation:
   • Email
   • Peer to Peer


Les alias:
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.D
   •  Sophos: W32/Brontok-A
   •  Grisoft: I-Worm/VB.FD
   •  VirusBuster: I-Worm.VB.DFN
   •  Eset: Win32/Brontok.A
   •  Bitdefender: Win32.Worm.Rontok.C


Plateformes / Systmes d'exploitation:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effets secondaires:
   • Il tlcharge des fichiers
   • Il emploie son propre moteur de courrier lectronique
   • Il diminue les rglages de scurit
   • Il modifie des registres

 Fichiers Il s'autocopie dans les emplacements suivants:
   • %WINDIR%\ShellNew\ElnorB.exe
   • %SYSDIR%\%le nom d'utilisateur courant%'s Setting.scr
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Templates\bararontok.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%le nom d'utilisateur courant%.com



Il supprime le fichier suivant:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%le nom d'utilisateur courant%.com



Les fichiers suivants sont crs:

%HOME%\Local Settings\Application Data\Bron.tok-4-7\%adresses email re?colte?es%.ini Ceci est un fichier texte non malveillant avec le contenu suivant:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

C:\autoexec.bat Ceci est un fichier texte non malveillant avec le contenu suivant:
   • pause

%WINDIR%\Tasks\At1.job Le fichier est une application planifie laquelle effectue le Malware avec un date prdfinie.



Il essaie de tlcharger des fichiers:

L'emplacement est le suivant:
   • www.geocities.com/sdotlobxp/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

L'emplacement est le suivant:
   • www.geocities.com/sdotlobxp/**********
Au moment de l'criture, ce fichier n'tait pas en ligne pour plus d'investigations.

 Registre Les cls de registre suivantes sont ajoutes afin d'excuter des processus aprs le redmarrage:

HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%chane de caractres alatoire de quatre digits%" = ""%HOME%\Local Settings\Application Data\bron%chane de caractres alatoire de quatre digits%on.exe""



Les cls de registre suivantes sont changes:

Il dsactive le Gestionnaire des tches et l'diteur de la base de registres
HKCU\software\microsoft\windows\currentversion\Policies\System
   L'ancienne valeur:
   • "DisableCMD" = %rglages dfinis par l'utilisateur%
   • "DisableRegistryTools" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Diffrents rglages pour Explorer:
HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   L'ancienne valeur:
   • "NoFolderOptions" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "NoFolderOptions" = dword:00000001

Diffrents rglages pour Explorer:
HKCU\software\microsoft\windows\currentversion\explorer\advanced
   L'ancienne valeur:
   • "ShowSuperHidden" =%rglages dfinis par l'utilisateur%
   • "HideFileExt" = %rglages dfinis par l'utilisateur%
   • "Hidden" = %rglages dfinis par l'utilisateur%
   La nouvelle valeur:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Il contient un moteur SMTP intgr pour envoyer des emails. Une connexion directe avec le serveur destination sera tablie. Les caractristiques sont dcrites ci-dessous:


De:
L'adresse de l'expditeur est falsifie.


A:
– Les adresses email trouvs dans des fichiers spcifiques du systme.
 les adresses d'email recueillies du WAB (Windows Address Book)


Sujet:
Le sujet est vide.


Corps:
Le corps de l'email est le suivant:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah


Pice jointe:
Le nom de fichier de l'attachement est:
   • kangen.exe

L'attachement est une copie du malware lui-mme.

 Envoie de messages Recherche des adresses:
Il cherche les fichiers suivants pour des adresses email:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


viter les adresses:
Il n'envoie pas des emails aux adresses contenant une des chanes de caractres suivantes:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Ajoutez les chanes de caractres au dbut de MX :
Afin d'obtenir l'adresse IP du serveur d'email, il a la capacit d'ajouter au dbut du nom de domaine les chanes de caractres suivantes:
   • smtp.
   • mail.
   • ns1.

 P2P Afin d'infecter d'autres systmes d'exploitation dans la communaut en rseau peer-to-peer, l'action suivante est entreprise: Il recherche tous les dossiers partags.

   En cas de succs, le fichier suivant est cr:
   • %tous les dossiers partags%.exe

   Ces fichiers sont copies du Malware.

 Arrt de processus: La liste des processus qui sont termins:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

Les processus contenant un des titres de fentre suivants sont arrts:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Immdiatement aprs il devient actif, il commence un attaque DoS vers les destinations suivantes:
   • israel.gov.il
   • playboy.com

 Dtails de fichier Langage de programmation:
Le fichier a t crit en MS Visual C++.


Logiciel de compression des fichiers excutables:
Afin d'entraver la dtection et de rduire la taille du fichier il est compress avec un logiciel de compression des excutables.

Description insérée par Irina Boldea le mardi 7 novembre 2006
Description mise à jour par Irina Boldea le mardi 7 novembre 2006

Retour . . . .
https:// Cet écran est crypté pour votre sécurité.