Nome del virus:Worm/VB.ay.2
Scoperto:05/10/2005
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio
File statico:Si
Dimensione del file:81.920 Byte
Somma di controllo MD5:902792c0116adf49f55f111e82c81db0
Versione VDF:6.32.00.60

 Generale Metodo di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Scarica un file “maligno”
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Sovrascrive un file.
%root del drive di sistema%\autoexec.bat

Con i seguenti contenuti:
   • pause




Viene creato il seguente file:

%WINDIR%\Tasks\At1 Viene eseguito ulteriormente dopo che è stato completamente creato. Il file è un task pianificato che esegue il malware in certe ore predefinite.



Prova a scaricare un file:

– La posizione è la seguente:
   • http://www.geocities.com/jowobot456/**********
Al momento dell'analisi questo file non era più disponibile. Utilizzato per nascondere un processo.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Vengono cambiate le seguenti chiavi di registro:

Disattiva il Regedit e il Task Manager:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valore precedente:
   • "DisableCMD"=%impostazioni definite dell'utente%
   • "DisableRegistryTools"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Varie opzioni di Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valore precedente:
   • "NoFolderOptions"=%impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFolderOptions"=dword:00000001

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
La riga dell'oggetto è vuota.


Corpo dell'email:
Il corpo dell’email è come il seguente:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


File allegato:
Il nome del file allegato è:
   • Kangen.exe

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • smtp.
   • mail.
   • ns1.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


Cerca tutte le directory condivise.

   Se riuscito, il seguente file viene creato:
   • %tutte le cartelle condivise%.exe

   Questi file sono copie del malware stesso.

 DoS Esattamente dopo che diventa attivo, inizia degli attacchi DoS contro le seguenti destinazioni:
   • israel.gov.il
   • playboy.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in Visual Basic.

Descrizione inserita da Irina Boldea su giovedì 25 maggio 2006
Descrizione aggiornata da Irina Boldea su giovedì 25 maggio 2006

Indietro . . . .