Full description

ウイルス	Worm/Rontok.D
タイプ	ワーム
感染報告有り	はい
感染報告	低～中
感染の可能性	低～中
ダメージ・ポテンシャル	低～中
スタティック・ファイル	はい
ファイル・サイズ	41.385 バイト
MD5　チェックサム	5a1e3b99e00dd5df99cc316ecfff5fb9

一般情報 感染方法
   • Eメール

別名
   • McAfee: W32/Rontokbro.gen@MM
   • Sophos: W32/Brontok-DB
   • Bitdefender: Worm.Generic.73749
   • Panda W32/Brontok.CX.worm
   • GData: Worm.Generic.73749

プラットフォーム/OS：
   • Windows 2000
   • Windows XP
   • Windows 2003

副作用
   • 悪意ファイルを作成します。
   • それ自身のメール・エンジンを利用します。

ファイルそれ自体を以下の場所にコピーします。
   • %SYSDIR%\%現在のユーザ名%'s Setting.scr
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %WINDIR%\eksplorasi.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Templates\WowTumpeh.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%現在のユーザ名%.com
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %WINDIR%\ShellNew\bronstab.exe

ファイルを上書きします。
– C:\autoexec.bat

以下のファイルが作成されます：

– %HOME%\Local Settings\Application Data\ListHost9.txt
– %HOME%\Local Settings\Application Data\Update.9.Bron.Tok.bin

以下のファイルを起動しようとします：

– 以下のファイルのうちのどれかを起動しようとします：
   • explorer.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • %HOME%\Local Settings\Application Data\smss.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • %HOME%\Local Settings\Application Data\winlogon.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • at /delete /y

– 以下のファイルのうちのどれかを起動しようとします：
   • at 17:08 /every:M,T,W,Th,F,S,Su "%HOME%\Templates\WowTumpeh.com"

– 以下のファイルのうちのどれかを起動しようとします：
   • %HOME%\Local Settings\Application Data\services.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • %HOME%\Local Settings\Application Data\lsass.exe

– 以下のファイルのうちのどれかを起動しようとします：
   • %HOME%\Local Settings\Application Data\inetinfo.exe

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Tok-Cirrhatus"=""%HOME%\Local Settings\Application Data\smss.exe""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Bron-Spizaetus"=""%WINDIR%\ShellNew\bronstab.exe""

以下のレジストリ・キーが追加されます：

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD"=dword:0x00000000
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001

以下のレジストリ・キーは変更されます：

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   新しい値
   • "Shell"="Explorer.exe "%WINDIR%\eksplorasi.exe""

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   新しい値
   • "ITBarLayout"=hex:11,00,00,00,4C,00,00,00,00,00,00,00,34,00,00,00,1B,00,00,00,4E,00,00,00,01,00,00,00,20,07,00,00,A0,0F,00,00,05,00,00,00,62,05,00,00,26,00,00,00,02,00,00,00,21,07,00,00,A0,0F,00,00,04,00,00,00,21,01,00,00,A0,0F,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   新しい値
   • "Hidden"=dword:0x00000000
   • "HideFileExt"=dword:0x00000001
   • "ShowSuperHidden"=dword:0x00000000

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
   新しい値
   • "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:81,45,E0,01,EE,4E,D0,11,BF,E9,00,AA,00,5B,43,83,10,00,00,00,00,00,00,00,01,E0,32,F4,01,00,00,00

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   新しい値
   • "Locked"=dword:0x00000001

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

本文
– HTMLコードを含みます。

添付ファイルは、マルウェア自身のコピーです。

ホストホストファイルは以下のように改変されます：

– 以下のドメインへのアクセスは効果的に無効にされています。
• %インターネットで収集された%

– 以下のドメインへのアクセスは違う行先に変更されています。
• %インターネットで収集された%

その他インターネットリソースへのアクセス :
• http://www.geocities.com/sembilstabok/**********
• http://www.geocities.com/sembilstabok/**********

ファイルの詳細 プログラム言語:
このマルウェアプログラムはVisual Basicで書かれています。

ランタイム・パッカー
検出されにくくするため、またファイルのサイズを縮小するため、ランタイム・パッカーで圧縮してあります。

説明の挿入者 Petre Galan の 2011年4月11日月曜日
説明の更新者 Petre Galan の 2011年4月11日月曜日

戻る . . . .

PCの修理が必要ですか?

マイアカウント