English
Deutsch
Francais
Español
Italian
Home
Minacce
Worm/Brontok.W.A
Cerca
Home
Supporto
Soluzioni
Prodotti
Downloads
Minacce
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Azienda
Stampa
Partner
Newsletter
Worm/Brontok.W.A - Worm
Vedi anche
In breve
Descrizione completa
Statistiche
How would you rate this information?
Worthless
Excellent
Nome del virus:
Worm/Brontok.W.A
Scoperto:
21/08/2006
Tipo:
Worm
In circolazione (ITW):
No
Numero delle infezioni segnalate:
Basso
Potenziale di propagazione:
Medio
Potenziale di danni:
Medio-Basso
File statico:
Si
Dimensione del file:
98.304 Byte
Somma di controllo MD5:
892f49387317b9cf8a70dad3595db4e3
Versione VDF:
6.36.00.51
Versione IVDF:
6.36.00.62
Generale
Metodo di propagazione:
• Rete locale
Alias:
• Symantec: Hacktool.Spammer
• Kaspersky: Email-Worm.Win32.Brontok.w
• F-Secure: Email-Worm.Win32.Brontok.w
• Sophos: W32/Brontok-BO
• Grisoft: SpamTool.GW
• Bitdefender: Win32.Brontok.AM@mm
Precedentemente individuato come:
• SPR/Spam.VB.aqn
Piattaforme / Sistemi operativi:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Effetti secondari:
• Duplica file
• Abbassa le impostazioni di sicurezza
• Modifica del registro
File
Si copia alle seguenti posizioni:
•
%WINDIR%
\Kr0n1C.exe
• C:\Kr0n1C.exe
•
%SYSDIR%
\shell.exe
•
%SYSDIR%
\MrHelloween.scr
•
%SYSDIR%
\IExplorer.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
•
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SMSS.EXE
• C:\Kr0n1C\New Folder.exe
• C:\Data
%nome utente corrente%
.exe
• C:\Data LocalService.exe
•
%directory corrente%
\
%nome della directory corrente%
.exe
Crea la seguente directory:
• C:\Kr0n1C
Vengono creati i seguenti file:
– C:\Puisi.txt Questo è un file di testo “non maligno” con il seguente contenuto:
• Kr0n1C
Tertatihku Meratap Perih
Insan Hidup Terasa Mati
Dan Bahagiapun Sirna Seiring Waktu
Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
Ini Semua Karena Dirimu
Yang Selalu Mengiris Hatiku
Hari Ini Aku Tetap Menanti
Hadirmu Walau Hanya Mimpi
Dan Kini Telah Kusadari
Dirimu Hanya Ingin Menyakitiku
Hadirmu Hanya Akan Binasakanku
Saat Ini Dan Sampai Alam Yang Abadi
Cyber.nu
–
%WINDIR%
\msvbvm60.dll
–
%SYSDIR%
\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini
Registro
Le seguenti chiavi di registro vengono aggiunte per eseguire i processi dopo il riavvio:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Kr0n1C"="
%WINDIR%
\Kr0n1C.exe"
• "Service
%nome utente corrente%
"="
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
• "MSMSGS"="
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Logon
%nome utente corrente%
"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
• "System Monitoring"="
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE"
• "LogonLocalService"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
Vengono cambiate le seguenti chiavi di registro:
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Valore precedente:
• "AlternateShell"="cmd.exe"
Nuovo valore:
• "AlternateShell"="
%WINDIR%
\Kr0n1C.exe"
– [HKCR\comfile\shell\open\command]
Valore precedente:
• @="%1" %*
Nuovo valore:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\batfile\shell\open\command]
Valore precedente:
• @="%1" %*
Nuovo valore:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\piffile\shell\open\command]
Valore precedente:
• @="%1" %*
Nuovo valore:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\lnkfile\shell\open\command]
Valore precedente:
• @="%1" %*
Nuovo valore:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile\shell\open\command]
Valore precedente:
• @="%1" %*
Nuovo valore:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile]
Valore precedente:
• @="Application"
Nuovo valore:
• @="File Folder"
Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Valore precedente:
• "Hidden"=
%impostazioni definite dell'utente%
• "HideFileExt"=
%impostazioni definite dell'utente%
• "ShowSuperHidden"=
%impostazioni definite dell'utente%
Nuovo valore:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000
– [HKCU\Control Panel\Desktop]
Valore precedente:
• "SCRNSAVE.EXE"=
%impostazioni definite dell'utente%
• "ScreenSaverIsSecure"=
%impostazioni definite dell'utente%
Nuovo valore:
• "SCRNSAVE.EXE"="
%SYSDIR%
\MRHELL~1.SCR"
• "ScreenSaverIsSecure"="0"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valore precedente:
• "Shell"="Explorer.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe"
Nuovo valore:
• "Shell"="Explorer.exe "
%SYSDIR%
\IExplorer.exe""
• "Userinit"="
%SYSDIR%
\userinit.exe,
%SYSDIR%
\IExplorer.exe"
Varie opzioni di Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Valore precedente:
• "NoFolderOptions"=
%impostazioni definite dell'utente%
Nuovo valore:
• "NoFolderOptions"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
Valore precedente:
• "Auto"="1"
• "Debugger"="drwtsn32 -p %ld -e %ld -g"
Nuovo valore:
• "Auto"="1"
• "Debugger"="
%SYSDIR%
\Shell.exe"
Disattiva il Regedit e il Task Manager:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Valore precedente:
• "DisableCMD"=
%impostazioni definite dell'utente%
• "DisableTaskMgr"=
%impostazioni definite dell'utente%
• "DisableRegistryTools"=
%impostazioni definite dell'utente%
Nuovo valore:
• "DisableCMD"=dword:00000001
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Valore precedente:
• "DisableConfig"=
%impostazioni definite dell'utente%
• "DisableSR"=
%impostazioni definite dell'utente%
Nuovo valore:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
Nuovo valore:
• "LimitSystemRestoreCheckpointing"=dword:00000001
• "DisableMSI"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Nuovo valore:
• "FullPath"=dword:00000001
Processi terminati
I processi che contengono uno dei seguenti “titolo finestra” vengono terminati:
• TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
RegEdit; Registry Editor; Folder Options; Local Settings
Dettagli del file
Linguaggio di programmazione:
Il malware è stato scritto in Visual Basic.
Per la descrizione "in breve" clicca
qui
.
Descrizione inserita da Adriana Popa il Tue, 19 Sep 2006 13:53 (GMT+1)
Descrizione aggiornata da Adriana Popa il Fri, 22 Sep 2006 12:52 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« Indietro
Stampa questa pagina
Worm/Bagle.FJ
W32/Elkern.C
Worm/Mytob.DH
Worm/Netsky.D.Dam
Worm/Lovgate.W
TR/Dldr.Agent.aizj
JS/Dldr.Small.CR.2
TR/Dldr.Agent.XAE
JS/Dldr.Agent.bbt
HTML/IFrame.800
© 2008 Avira GmbH
Copyright
Protezione dei dati
Mappa del sito
Feedback
Informazione legale
FAQ
Contatti
Minacce Worm/Brontok.W.A
Stampa questa pagina
