Nome del virus:Worm/Brontok.C.6.A
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:45.458 Byte
Somma di controllo MD5:69b44a84e75c3d34a5ed5b49b43f2c8f

 Generale Metodo di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  TrendMicro: WORM_BRONTOK.AM
   •  VirusBuster: I-Worm.Brontok.M
   •  Eset: Win32/Brontok.AT


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Abbassa le impostazioni di sicurezza
   • Modifica del registro

 File Si copia alle seguenti posizioni:
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%nome utente corrente%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%stringa casuale di quattro caratteri%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%stringa casuale di cinque caratteri%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nome utente corrente%.com



Cancella il seguente file:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nome utente corrente%.com



Vengono creati i seguenti file:

– %HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\%indirizzi email raccolti%.ini Questo è un file di testo “non maligno” con il seguente contenuto:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– C:\autoexec.bat Questo è un file di testo “non maligno” con il seguente contenuto:
   • pause

%WINDIR%\Tasks\At1.job Il file è un task pianificato che esegue il malware in certe ore predefinite.



Prova a scaricare un file:

– La posizione è la seguente:
   • www.geocities.com/stabro7ok/**********
Al momento dell'analisi questo file non era più disponibile.

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%stringa casuale di quattro caratteri%" = ""%HOME%\Local Settings\Application Data\bron%stringa casuale di quattro caratteri%on.exe""



Viene aggiunta la seguente chiave di registro:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



Vengono cambiate le seguenti chiavi di registro:

Disattiva il Regedit e il Task Manager:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   Valore precedente:
   • "DisableCMD" = %impostazioni definite dell'utente%
   • "DisableRegistryTools" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Varie opzioni di Explorer:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Valore precedente:
   • "NoFolderOptions" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "NoFolderOptions" = dword:00000001

Varie opzioni di Explorer:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Valore precedente:
   • "ShowSuperHidden" =%impostazioni definite dell'utente%
   • "HideFileExt" = %impostazioni definite dell'utente%
   • "Hidden" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)


Oggetto:
La riga dell'oggetto è vuota.


Corpo dell'email:
Il corpo dell’email è come il seguente:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    Seguito da una delle seguenti estensioni fasulle:
   • .doc
   • .xls

    L'estensione del file è una delle seguenti:
   • .exe

L'allegato è una copia del malware stesso.

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, ha la capacità di aggiungere in testa al nome di dominio le seguenti stringhe:
   • smtp.
   • mail.
   • ns1.

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione: Cerca tutte le directory condivise.

   Se riuscito, il seguente file viene creato:
   • %tutte le cartelle condivise%.exe

   Questi file sono copie del malware stesso.

 Processi terminati Lista dei processi che vengono terminati:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Esattamente dopo che diventa attivo, inizia degli attacchi DoS contro le seguenti destinazioni:
   • kaskus.com
   • tahun.com

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Irina Boldea su martedì 26 settembre 2006
Descrizione aggiornata da Irina Boldea su martedì 26 settembre 2006

Indietro . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tutti i diritti riservati.

Il Mio Account

https:// Questa finestra è criptata per tua sicurezza.