Descrizione completa

Nome del virus:	Worm/Brontok.C
Scoperto:	27/10/2005
Tipo:	Worm
In circolazione (ITW):	Si
Numero delle infezioni segnalate:	Medio
Potenziale di propagazione:	Medio-Alto
Potenziale di danni:	Medio
File statico:	No
Versione VDF:	6.32.00.109

Generale Metodi di propagazione:
   • Email
   • Rete locale

Alias:
   • Symantec: W32.Rontokbro.K@mm
   • TrendMicro: WORM_RONTOKBRO.J
   • Bitdefender: Win32.Brontok.C@mm

Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Effetti secondari:
   • Blocca l'accesso a siti web di sicurezza
   • Scarica file
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro

Giusto dopo l'esecuzione, avvia un'applicazione Windows che visualizzerà la seguente finestra:

File Si copia alle seguenti posizioni:
   • %WINDIR%\ShellNew\sempalong.exe
   • %WINDIR%\eksplorasi.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Templates\brengkolang.exe
   • %SYSDIR%\%nome utente corrente%'s setting.scr

Sovrascrive un file.
– %root del drive di sistema%\autoexec.bat

Con i seguenti contenuti:
   • pause

Viene creato il seguente file:

– %HOME%\Local Settings\Application Data\Kosong.Bron.Tok.txt Questo è un file di testo “non maligno” con il seguente contenuto:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

Registro Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:

– [HKLM\software\microsoft\windows\currentversion\run]
   • "Bron-Spizaetus" = ""c:\winows\ShellNew\sempalong.exe""

– [HKCU\software\microsoft\windows\currentversion\run]
   • "Tok-Cirrhatus" = "c:\Documents and Settings\UserLocal Settings\Application Data\smss.exe"

Vengono aggiunte le seguenti chiavi di registro:

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000001

– [HKCU\software\microsoft\windows\currentversion\Policies\Explorer]
   • "NoFolderOptions" = dword:00000001

Vengono cambiate le seguenti chiavi di registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valore precedente:
   • "Shell" = "Explorer.exe"
   Nuovo valore:
   • "Shell" = "Explorer.exe "c:\winows\eksplorasi.exe""

– [HKCU\software\microsoft\windows\currentversion\explorer\advanced]
   Valore precedente:
   • "ShowSuperHidden" = %impostazioni definite dell'utente%
   • "HideFileExt" = %impostazioni definite dell'utente%
   • "Hidden" = %impostazioni definite dell'utente%
   Nuovo valore:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • .HTML; .TXT; .EML; .WAB; .ASP; .PHP; .CFM; .CSV; .DOC; .XLS; .PDF;
      .PPT; .HTT

Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • .VBS; DOMAIN; HIDDEN; DEMO; DEVELOP; FOO@; KOMPUTER; SENIOR; DARK;
      BLACK; BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT;
      SERVER; PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON;
      SERVICE; ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE;
      RESPONSE; OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS;
      MICRO; TREND; SIEMENS; FUJITSU; NOKIA; W3.; NVIDIA; APACHE; MYSQL;
      POSTGRE; SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST;
      ESAVE; ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB;
      PROLAND; ESCAN; HAURI; NOD32; SYBARI; ANTIGEN; ROBOT; ALWIL; YAHOO;
      COMPUSE; COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE;
      KDE; TRACK; INFORMA; FUJI; @MAC; SLACK; REDHA; SUSE; BUNTU; XANDROS;
      @ABC; @123; LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT;
      TELECOM; STUDIO; SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO

Host L'host del file viene modificato come spiegato:

– In questo caso i dati immessi già esistenti vengono cancellati.

– L'accesso ai seguenti domini è effettivamente bloccato:
   • mcafee.com; www.mcafee.com; mcafeesecurity.com;
      www.mcafeesecurity.com; mcafeeb2b.com; www.mcafeeb2b.com; nai.com;
      www.nai.com; vil.nai.com; grisoft.com; www.grisoft.com;
      kaspersky-labs.com; www.kaspersky-labs.com; kaspersky.com;
      www.kaspersky.com; downloads1.kaspersky-labs.com;
      downloads2.kaspersky-labs.com; downloads3.kaspersky-labs.com;
      downloads4.kaspersky-labs.com; download.mcafee.com; grisoft.cz;
      www.grisoft.cz; norton.com; www.norton.com; symantec.com;
      www.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; update.symantec.com;
      securityresponse.symantec.com; sarc.com; www.sarc.com; vaksin.com;
      www.vaksin.com; norman.com; www.norman.com; trendmicro.com;
      www.trendmicro.com; trendmicro.co.jp; www.trendmicro.co.jp;
      trendmicro-europe.com; www.trendmicro-europe.com;
      ae.trendmicro-europe.com; it.trendmicro-europe.com; secunia.com;
      www.secunia.com; winantivirus.com; www.winantivirus.com;
      pandasoftware.com; www.pandasoftware.com; esafe.com; www.esafe.com;
      f-secure.com; www.f-secure.com; europe.f-secure.com; bhs.com;
      www.bhs.com; datafellows.com; www.datafellows.com; cheyenne.com;
      www.cheyenne.com; ontrack.com; www.ontrack.com; sands.com;
      www.sands.com; sophos.com; www.sophos.com; icubed.com; www.icubed.com;
      perantivirus.com; www.perantivirus.com; virusalert.nl;
      www.virusalert.nl; pagina.nl; www.pagina.nl; antivirus.pagina.nl;
      castlecops.com; www.castlecops.com; virustotal.com; www.virustotal.com

L'host del file modificato sarà del tipo:

DoS Esattamente dopo che diventa attivo, inizia degli attacchi DoS contro le seguenti destinazioni:
• http://kaskus.com
• http://17tahun.com

Varie Anti debugging
Verifica se sono in esecuzione dei programmi che contengono una delle seguenti stringhe:
   • REGISTRY
   • SYSTEM CONFIGURATION
   • COMMAND PROMPT
   • .EXE
   • SHUT DOWN
   • SCRIPT HOST
   • LOG OFF WINDOWS
   • KILLBOX
   • TASKKILL
   • TASK KILL
   • HIJACK
   • BLEEPING

Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con un software di compressione.

Descrizione inserita da Andrei Gherman su venerdì 28 ottobre 2005
Descrizione aggiornata da Andrei Gherman su venerdì 20 giugno 2008

Indietro . . . .

La migliore protezione per PC

Prodotti gratuiti

I prodotti piu conosciuti

Tutti i prodotti

Soluzioni unificate

Postazioni lavoro

Server

Soluzioni unificate

Mail Gateways

Web Gateways

Piattaforme di collaborazione

Per utenti privati

Per aziende

Virus Lab

Ulteriore supporto

Diventa un Partner di Avira

Per utenti privati

Per aziende

Desideri provare un prodotto?

Manuali e Strumenti