Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Brontok.C
Scoperto:13/12/2012
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:No
Versione VDF:7.11.53.216 - giovedì 13 dicembre 2012
Versione IVDF:7.11.53.216 - giovedì 13 dicembre 2012

 Generale Metodi di propagazione:
   • Email
   • Rete locale


Alias:
   •  Symantec: W32.Rontokbro.K@mm
   •  TrendMicro: WORM_RONTOKBRO.J
   •  Bitdefender: Win32.Brontok.C@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Scarica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro


Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzer la seguente finestra:


 File Si copia alle seguenti posizioni:
   • %WINDIR%\ShellNew\sempalong.exe
   • %WINDIR%\eksplorasi.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Templates\brengkolang.exe
   • %SYSDIR%\%nome utente corrente%'s setting.scr



Sovrascrive un file.
%root del drive di sistema%\autoexec.bat

Con i seguenti contenuti:
   • pause




Viene creato il seguente file:

%HOME%\Local Settings\Application Data\Kosong.Bron.Tok.txt Questo un file di testo non maligno con il seguente contenuto:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

 Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

[HKLM\software\microsoft\windows\currentversion\run]
   • "Bron-Spizaetus" = ""c:\winows\ShellNew\sempalong.exe""

[HKCU\software\microsoft\windows\currentversion\run]
   • "Tok-Cirrhatus" = "c:\Documents and Settings\UserLocal Settings\Application Data\smss.exe"



Vengono aggiunte le seguenti chiavi di registro:

[HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000001

[HKCU\software\microsoft\windows\currentversion\Policies\Explorer]
   • "NoFolderOptions" = dword:00000001



Vengono cambiate le seguenti chiavi di registro:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell" = "Explorer.exe"
   Nuovo valore:
   • "Shell" = "Explorer.exe "c:\winows\eksplorasi.exe""

[HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Valore precedente:
   • "ShowSuperHidden" = %impostazioni definite dell'utente%
   • "HideFileExt" = %impostazioni definite dell'utente%
   • "Hidden" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .HTML; .TXT; .EML; .WAB; .ASP; .PHP; .CFM; .CSV; .DOC; .XLS; .PDF;
      .PPT; .HTT


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .VBS; DOMAIN; HIDDEN; DEMO; DEVELOP; FOO@; KOMPUTER; SENIOR; DARK;
      BLACK; BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT;
      SERVER; PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON;
      SERVICE; ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE;
      RESPONSE; OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS;
      MICRO; TREND; SIEMENS; FUJITSU; NOKIA; W3.; NVIDIA; APACHE; MYSQL;
      POSTGRE; SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST;
      ESAVE; ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB;
      PROLAND; ESCAN; HAURI; NOD32; SYBARI; ANTIGEN; ROBOT; ALWIL; YAHOO;
      COMPUSE; COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE;
      KDE; TRACK; INFORMA; FUJI; @MAC; SLACK; REDHA; SUSE; BUNTU; XANDROS;
      @ABC; @123; LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT;
      TELECOM; STUDIO; SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO

 Host L'host del file viene modificato come spiegato:

In questo caso i dati immessi gi esistenti vengono cancellati.

L'accesso ai seguenti domini effettivamente bloccato:
   • mcafee.com
   • www.mcafee.com
   • mcafeesecurity.com
   • www.mcafeesecurity.com
   • mcafeeb2b.com
   • www.mcafeeb2b.com
   • nai.com
   • www.nai.com
   • vil.nai.com
   • grisoft.com
   • www.grisoft.com
   • kaspersky-labs.com
   • www.kaspersky-labs.com
   • kaspersky.com
   • www.kaspersky.com
   • downloads1.kaspersky-labs.com
   • downloads2.kaspersky-labs.com
   • downloads3.kaspersky-labs.com
   • downloads4.kaspersky-labs.com
   • download.mcafee.com
   • grisoft.cz
   • www.grisoft.cz
   • norton.com
   • www.norton.com
   • symantec.com
   • www.symantec.com
   • liveupdate.symantecliveupdate.com
   • liveupdate.symantec.com
   • update.symantec.com
   • securityresponse.symantec.com
   • sarc.com
   • www.sarc.com
   • vaksin.com
   • www.vaksin.com
   • norman.com
   • www.norman.com
   • trendmicro.com
   • www.trendmicro.com
   • trendmicro.co.jp
   • www.trendmicro.co.jp
   • trendmicro-europe.com
   • www.trendmicro-europe.com
   • ae.trendmicro-europe.com
   • it.trendmicro-europe.com
   • secunia.com
   • www.secunia.com
   • winantivirus.com
   • www.winantivirus.com
   • pandasoftware.com
   • www.pandasoftware.com
   • esafe.com
   • www.esafe.com
   • f-secure.com
   • www.f-secure.com
   • europe.f-secure.com
   • bhs.com
   • www.bhs.com
   • datafellows.com
   • www.datafellows.com
   • cheyenne.com
   • www.cheyenne.com
   • ontrack.com
   • www.ontrack.com
   • sands.com
   • www.sands.com
   • sophos.com
   • www.sophos.com
   • icubed.com
   • www.icubed.com
   • perantivirus.com
   • www.perantivirus.com
   • virusalert.nl
   • www.virusalert.nl
   • pagina.nl
   • www.pagina.nl
   • antivirus.pagina.nl
   • castlecops.com
   • www.castlecops.com
   • virustotal.com
   • www.virustotal.com




L'host del file modificato sar del tipo:


 DoS Esattamente dopo che diventa attivo, inizia degli attacchi DoS contro le seguenti destinazioni:
   • http://kaskus.com
   • http://17tahun.com

 Varie Anti debugging
Verifica se sono in esecuzione dei programmi che contengono una delle seguenti stringhe:
   • REGISTRY
   • SYSTEM CONFIGURATION
   • COMMAND PROMPT
   • .EXE
   • SHUT DOWN
   • SCRIPT HOST
   • LOG OFF WINDOWS
   • KILLBOX
   • TASKKILL
   • TASK KILL
   • HIJACK
   • BLEEPING


 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 28 ottobre 2005
Descrizione aggiornata da Andrei Gherman su venerdì 20 giugno 2008

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.