Descrizione completa

Nome del virus:	Worm/Brontok.J
Scoperto:	30/03/2006
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Basso
Potenziale di propagazione:	Medio
Potenziale di danni:	Medio
File statico:	No
Dimensione del file:	45.120 Byte
Versione VDF:	6.34.00.117

Generale Metodo di propagazione:
   • Email

Alias:
   • Symantec: W32.Rontokbro.X@mm
   • Mcafee: W32/Rontokbro
   • Kaspersky: Email-Worm.Win32.Brontok.n
   • TrendMicro: WORM_RONTOKBR.AO
   • Bitdefender: Win32.Brontok.W@mm

Piattaforme / Sistemi operativi:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Disattiva le applicazioni di sicurezza
   • Duplica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

Giusto dopo l'esecuzione vengono visualizzate le seguenti informazioni:

File Si copia alle seguenti posizioni:
   • %WINDIR%\j%dipendente dal sistema%.exe
   • %SYSDIR%\c%dipendente dal sistema%k.com
   • %SYSDIR%\s%dipendente dal sistema%\zh%dipendente dal sistema%y.exe
   • %WINDIR%\o%dipendente dal sistema%.exe
   • %WINDIR%\_default%dipendente dal sistema%.pif
   • %HOME%\Local Settings\Application Data\dv%dipendente dal sistema%0x\yesbron.com
   • %WINDIR%\Us%dipendente dal sistema%\qm%dipendente dal sistema%.exe
   • %SYSDIR%\s%dipendente dal sistema%\m%dipendente dal sistema%.exe
   • %SYSDIR%\s%dipendente dal sistema%\zh%dipendente dal sistema%y.exemsatr.bin
   • %SYSDIR%\s%dipendente dal sistema%\csrss.exe
   • %SYSDIR%\s%dipendente dal sistema%\services.exe
   • %SYSDIR%\s%dipendente dal sistema%\lsass.exe
   • %SYSDIR%\s%dipendente dal sistema%\smss.exe
   • %SYSDIR%\s%dipendente dal sistema%\winlogon.exe
   • %SYSDIR%\s%dipendente dal sistema%\o%dipendente dal sistema%.exe
   • %HOME%\Local Settings\Application Data\jalak-%dipendente dal sistema%-bali.com

Rinomina il seguente file:

    • %SYSDIR%\msvbm60.dll in %SYSDIR%\msvbm60.dll.%molte cifre casuali%

Vengono creati i seguenti file:

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\s%dipendente dal sistema%\domlist.txt
   • %SYSDIR%\s%dipendente dal sistema%\getdomlist.txt
   • %SYSDIR%\s%dipendente dal sistema%\brdom.bat

– %SYSDIR%\s%dipendente dal sistema%\Spread.Mail.Bro\%indirizzo email del ricevente%.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • Brontok.C
     By:JowoBot

– c:\Baca Bro !!!.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • BRONTOK.C[22]



     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.

     Nobron = Satria Dungu = Nothing !!!
     Romdil = Tukang Jiplak = Nothing !!!

     Nobron & Romdil -->> Kicked by The Amazing Brontok




      [ By JowoBot ]

– %SYSDIR%\s%dipendente dal sistema%\c.bron.tok.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • Brontok.C
     By:JowoBot

– %WINDIR%\Tasks\At1.job Il file è un task pianificato che esegue il malware in certe ore predefinite.
– %WINDIR%\Tasks\At2.job Il file è un task pianificato che esegue il malware in certe ore predefinite.

Prova a scaricare dei file:

– La posizione è la seguente:
   • http://www.net4free.org/Arts/bddwyrk/**********
Viene salvato in locale sotto: %SYSDIR%\s%dipendente dal sistema%\zh%dipendente dal sistema%y.exeupi22xbm.ini

– La posizione è la seguente:
   • http://debuging.com/WS1/cgi/x.cgi?NAVG=Tracker&username=dudxwd
Viene salvato in locale sotto: %SYSDIR%\s%dipendente dal sistema%\svt22sj.tok

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f%dipendente dal sistema%Use"=""%SYSDIR%\s%dipendente dal sistema%\zh%dipendente dal sistema%y.exe""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • "f%dipendente dal sistema%Use"=""%HOME%\Local Settings\Application Data\dv%dipendente dal sistema%0x\yesbron.com""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "A%dipendente dal sistema%r"=""%WINDIR%\j%dipendente dal sistema%.exe""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "A%dipendente dal sistema%r"=""%WINDIR%\_default%dipendente dal sistema%.pif""

I valori delle seguenti chiavi di registro vengono rimossi:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-%dipendente dal sistema%Usec
   • Tok-Cirrhatus
   • Tok-Cirrhatus-%dipendente dal sistema%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus-%dipendente dal sistema%XPPM
   • Bron-Spizaetus

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-%dipendente dal sistema%Usec
   • brl

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • Bron-Spizaetus-%dipendente dal sistema%XPPM

Viene aggiunta la seguente chiave di registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="c_%dipendente dal sistema%k.com"

Vengono cambiate le seguenti chiavi di registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valore precedente:
   • "Hidden"=%impostazioni definite dell'utente%
   • "HideFileExt"=%impostazioni definite dell'utente%
   • "ShowSuperHidden"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valore precedente:
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell"=%impostazioni definite dell'utente%
   • "Userinit"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "Shell"="Explorer.exe "%WINDIR%\o%dipendente dal sistema%.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\j%dipendente dal sistema%.exe"

Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
La lingua con cui la mail viene spedita dipende dal dominio di primo livello.

A:
– Indirizzi email trovati in specifici file sul sistema.

Design delle email:

Oggetto: My Best Photo
Corpo della mail:
   • Hi,
     I want to share my photo with you.
     Wishing you all the best.

     Regards,
Oggetto: Fotoku yg Paling Cantik
Corpo della mail:
   • Hi,
     Aku lg iseng aja pengen kirim foto ke kamu.
     Jangan lupain aku ya !.

     Thanks,

File allegato:
Il contenuto del file non è una copia di se stesso ma un altro malware.

Il nome del file allegato è:
   • Photo.zip

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • csv
   • asp
   • html
   • eml
   • htm
   • doc
   • cfm
   • wab
   • txt

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • pcmag; pcplus; pcmedia; chip; yahoo; abuse; borland; -_; _-; __; --;
      acer; compaq; torvald; trovald; detik; .ppt; .cfm; .eml; .txt; .jpg;
      .gif; .xls; .doc; .pdf; anony; coding; guru; code; script; @mm; w32;
      _@; @_; -@; @-; ._; _.; .-; -.; NONE; CASTLE; WINRAR; WINZIP; HELP;
      IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; BILLING@; INFO@;
      CONTOH; EXAMPLE; SMTP; XXX; ..; TEST; NETWORK; SOURCE; PROGRAM; WWW;
      .@; @.; ASDF; SOME; YOUR; BLAH; SPAM; SOFT; PANDA; NORMAN; NORTON;
      ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT; AVG; LINUX; CRACK;
      HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE; UPDATE; DEVELOP;
      VAKSIN

Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • ns1.
   • mail.
   • smtp.

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • mcafee.com; www.mcafee.com; mcafee.net; www.mcafee.net; mcafee.org;
      www.mcafee.org; mcafeesecurity.com; www.mcafeesecurity.com;
      mcafeesecurity.net; www.mcafeesecurity.net; mcafeesecurity.org;
      www.mcafeesecurity.org; mcafeeb2b.com; www.mcafeeb2b.com;
      mcafeeb2b.net; www.mcafeeb2b.net; mcafeeb2b.org; www.mcafeeb2b.org;
      nai.com; www.nai.com; nai.net; www.nai.net; nai.org; www.nai.org;
      vil.nai.com; www.vil.nai.com; vil.nai.net; www.vil.nai.net;
      vil.nai.org; www.vil.nai.org; grisoft.com; www.grisoft.com;
      grisoft.net; www.grisoft.net; grisoft.org; www.grisoft.org;
      kaspersky-labs.com; www.kaspersky-labs.com; kaspersky-labs.net;
      www.kaspersky-labs.net; kaspersky-labs.org; www.kaspersky-labs.org;
      kaspersky.com; www.kaspersky.com; kaspersky.net; www.kaspersky.net;
      kaspersky.org; www.kaspersky.org; downloads1.kaspersky-labs.com;
      www.downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.net;
      www.downloads1.kaspersky-labs.net; downloads1.kaspersky-labs.org;
      www.downloads1.kaspersky-labs.org; downloads2.kaspersky-labs.com;
      www.downloads2.kaspersky-labs.com; downloads2.kaspersky-labs.net;
      www.downloads2.kaspersky-labs.net; downloads2.kaspersky-labs.org;
      www.downloads2.kaspersky-labs.org; downloads3.kaspersky-labs.com;
      www.downloads3.kaspersky-labs.com; downloads3.kaspersky-labs.net;
      www.downloads3.kaspersky-labs.net; downloads3.kaspersky-labs.org;
      www.downloads3.kaspersky-labs.org; downloads4.kaspersky-labs.com;
      www.downloads4.kaspersky-labs.com; downloads4.kaspersky-labs.net;
      www.downloads4.kaspersky-labs.net; downloads4.kaspersky-labs.org;
      www.downloads4.kaspersky-labs.org; download.mcafee.com;
      www.download.mcafee.com; download.mcafee.net; www.download.mcafee.net;
      download.mcafee.org; www.download.mcafee.org; norton.com;
      www.norton.com; norton.net; www.norton.net; norton.org;
      www.norton.org; symantec.com; www.symantec.com; symantec.net;
      www.symantec.net; symantec.org; www.symantec.org;
      liveupdate.symantecliveupdate.com;
      www.liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.net;
      www.liveupdate.symantecliveupdate.net;
      liveupdate.symantecliveupdate.org;
      www.liveupdate.symantecliveupdate.org; liveupdate.symantec.com;
      www.liveupdate.symantec.com; liveupdate.symantec.net;
      www.liveupdate.symantec.net; liveupdate.symantec.org;
      www.liveupdate.symantec.org; update.symantec.com;
      www.update.symantec.com; update.symantec.net; www.update.symantec.net;
      update.symantec.org; www.update.symantec.org;
      securityresponse.symantec.com; www.securityresponse.symantec.com;
      securityresponse.symantec.net; www.securityresponse.symantec.net;
      securityresponse.symantec.org; www.securityresponse.symantec.org;
      sarc.com; www.sarc.com; sarc.net; www.sarc.net; sarc.org;
      www.sarc.org; vaksin.com; www.vaksin.com; vaksin.net; www.vaksin.net;
      vaksin.org; www.vaksin.org; forum.vaksin.com; www.forum.vaksin.com;
      forum.vaksin.net; www.forum.vaksin.net; forum.vaksin.org;
      www.forum.vaksin.org; norman.com; www.norman.com; norman.net;
      www.norman.net; norman.org; www.norman.org; trendmicro.com;
      www.trendmicro.com; trendmicro.net; www.trendmicro.net;
      trendmicro.org; www.trendmicro.org; trendmicro-europe.com;
      www.trendmicro-europe.com; trendmicro-europe.net;
      www.trendmicro-europe.net; trendmicro-europe.org;
      www.trendmicro-europe.org; ae.trendmicro-europe.com;
      www.ae.trendmicro-europe.com; ae.trendmicro-europe.net;
      www.ae.trendmicro-europe.net; ae.trendmicro-europe.org;
      www.ae.trendmicro-europe.org; it.trendmicro-europe.com;
      www.it.trendmicro-europe.com; it.trendmicro-europe.net;
      www.it.trendmicro-europe.net; it.trendmicro-europe.org;
      www.it.trendmicro-europe.org; secunia.com; www.secunia.com;
      secunia.net; www.secunia.net; secunia.org; www.secunia.org;
      winantivirus.com; www.winantivirus.com; winantivirus.net;
      www.winantivirus.net; winantivirus.org; www.winantivirus.org;
      pandasoftware.com; www.pandasoftware.com; pandasoftware.net;
      www.pandasoftware.net; pandasoftware.org; www.pandasoftware.org;
      esafe.com; www.esafe.com; esafe.net; www.esafe.net; esafe.org;
      www.esafe.org; f-secure.com; www.f-secure.com; f-secure.net;
      www.f-secure.net; f-secure.org; www.f-secure.org; europe.f-secure.com;
      www.europe.f-secure.com; europe.f-secure.net; www.europe.f-secure.net;
      europe.f-secure.org; www.europe.f-secure.org; bhs.com; www.bhs.com;
      bhs.net; www.bhs.net; bhs.org; www.bhs.org; datafellows.com;
      www.datafellows.com; datafellows.net; www.datafellows.net;
      datafellows.org; www.datafellows.org; cheyenne.com; www.cheyenne.com;
      cheyenne.net; www.cheyenne.net; cheyenne.org; www.cheyenne.org;
      ontrack.com; www.ontrack.com; ontrack.net; www.ontrack.net;
      ontrack.org; www.ontrack.org; sands.com; www.sands.com; sands.net;
      www.sands.net; sands.org; www.sands.org; sophos.com; www.sophos.com;
      sophos.net; www.sophos.net; sophos.org; www.sophos.org; icubed.com;
      www.icubed.com; icubed.net; www.icubed.net; icubed.org;
      www.icubed.org; perantivirus.com; www.perantivirus.com;
      perantivirus.net; www.perantivirus.net; perantivirus.org;
      www.perantivirus.org; castlecops.com; www.castlecops.com;
      castlecops.net; www.castlecops.net; castlecops.org;
      www.castlecops.org; virustotal.com; www.virustotal.com;
      virustotal.net; www.virustotal.net; virustotal.org;
      www.virustotal.org; free-av.com; www.free-av.com; free-av.net;
      www.free-av.net; free-av.org; www.free-av.org; antivirus.com;
      www.antivirus.com; antivirus.net; www.antivirus.net; antivirus.org;
      www.antivirus.org; anti-virus.com; www.anti-virus.com; anti-virus.net;
      www.anti-virus.net; anti-virus.org; www.anti-virus.org; ca.com;
      www.ca.com; ca.net; www.ca.net; ca.org; www.ca.org; fajarweb.com;
      www.fajarweb.com; fajarweb.net; www.fajarweb.net; fajarweb.org;
      www.fajarweb.org; jasakom.com; www.jasakom.com; jasakom.net;
      www.jasakom.net; jasakom.org; www.jasakom.org; backup.grisoft.com;
      www.backup.grisoft.com; backup.grisoft.net; www.backup.grisoft.net;
      backup.grisoft.org; www.backup.grisoft.org; infokomputer.com;
      www.infokomputer.com; infokomputer.net; www.infokomputer.net;
      infokomputer.org; www.infokomputer.org; playboy.com; www.playboy.com;
      playboy.net; www.playboy.net; playboy.org; www.playboy.org;
      sex-mission.com; www.sex-mission.com; sex-mission.net;
      www.sex-mission.net; sex-mission.org; www.sex-mission.org;
      pornstargals.com; www.pornstargals.com; pornstargals.net;
      www.pornstargals.net; pornstargals.org; www.pornstargals.org;
      kaskus.com; www.kaskus.com; kaskus.net; www.kaskus.net; kaskus.org;
      www.kaskus.org; 17tahun.com; www.17tahun.com; 17tahun.net;
      www.17tahun.net; 17tahun.org; www.17tahun.org; padinet.com;
      www.padinet.com; padinet.net; www.padinet.net; padinet.org;
      www.padinet.org; jeruk.padinet.com; www.jeruk.padinet.com;
      jeruk.padinet.net; www.jeruk.padinet.net; jeruk.padinet.org;
      www.jeruk.padinet.org; compactbyte.com; www.compactbyte.com;
      compactbyte.net; www.compactbyte.net; compactbyte.org;
      www.compactbyte.org; blog.compactbyte.com; www.blog.compactbyte.com;
      blog.compactbyte.net; www.blog.compactbyte.net; blog.compactbyte.org;
      www.blog.compactbyte.org; blogs.compactbyte.com;
      www.blogs.compactbyte.com; blogs.compactbyte.net;
      www.blogs.compactbyte.net; blogs.compactbyte.org;
      www.blogs.compactbyte.org

L'host del file modificato sarà del tipo:

Processi terminati Lista dei processi che vengono terminati:
   • XPSHARE; ANTIVIRUS; MSPATCH; PARIS; PACAR; CEWE; AZHARI; FOTO; ALICIA;
      RENATA; MARIANA; SASTRO; DIAN; BROWNIES; KWASHER; VIRUS.; NURHALIZA;
      SITI.

I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • peid; task view; telanjang; bugil; naked; alwil; wintask; folder
      option; trojan; avira; windows script; commander; pc-media; killer;
      ertanto; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; killbox;
      scheduled task; computer management; cmd.exe; group policy; system
      configuration; command prompt; registry; baca bro !!!; task manager

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Ivanes su mercoledì 5 aprile 2006
Descrizione aggiornata da Andrei Ivanes su lunedì 8 maggio 2006

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti