Worm/VB.ay.2 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/VB.ay.2
発見日：	05/10/2005
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	81.920 バイト
MD5　チェックサム	902792c0116adf49f55f111e82c81db0
VDFファージョン：	6.32.00.60 - Wed, 05 Oct 2005 16:44 (GMT+1)

一般情報 感染方法
   • Eメール
   • ローカル・ネットワーク

別名
   • Symantec(シマンテック) W32.Rontokbro.B@mm
   • McAfee(マカフィー) W32/Rontokbro.b@MM
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Brontok.a
   • TrendMicro(トレンドマイクロ） WORM_RONTOKBRO.B
   • Sophos(ソフォス) W32/Brontok-B
   • Grisoft I-Worm/VB.DV
   • ウイルスバスター I-Worm.Brontok.AO
   • Eset Win32/Brontok.B
   • ビットディフェンダー(Bitdefender)： Win32.Brontok.A@mm

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • 悪意ファイルをダウンロードします。
   • それ自身のメール・エンジンを利用します。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %home%\Local Settings\Application Data\csrss.exe
   • %home%\Local Settings\Application Data\inetinfo.exe
   • %home%\Local Settings\Application Data\lsass.exe
   • %home%\Local Settings\Application Data\services.exe
   • %home%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com

ファイルを上書きします。
– %システム・ドライブ・ルート%\autoexec.bat

以下の内容：
   • pause

以下のファイルが作成されます：

– %WINDIR%\Tasks\At1 作成が完了した後、起動されます。マルウェアを決められた時間に起動するための予定されたタスクです。

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • http://www.geocities.com/jowobot456/**********
これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。プロセスを隠すのに利用されます。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%home%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"

以下のレジストリ・キーは変更されます：

Regedit（レジストリ編集ツール）及びタスクマネージャを無効化します。
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   前の値
   • "DisableCMD"=%ユーザ設定%
   • "DisableRegistryTools"=%ユーザ設定%
   新しい値
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

あらゆるExplorerの設定:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   前の値
   • "NoFolderOptions"=%ユーザ設定%
   新しい値
   • "NoFolderOptions"=dword:00000001

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

件名
件名は空欄になっています。

本文
メールの本文は以下の通りです：

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --

添付ファイル
添付ファイルの名前は：
   • Kangen.exe

添付ファイルは、マルウェア自身のコピーです。

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC

アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU

MX文字列を前に入れます：
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます：
   • smtp.
   • mail.
   • ns1.

P2P P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します：

– すべての共有ディレクトリを検索します。

成功すると、以下のファイルが作成されます：
• %すべての
簡単な説明はココにあります。.

この説明は Irina Boldea によって Thu, 25 May 2006 09:32 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Thu, 25 May 2006 14:01 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back