Worm/Brontok.E.1 - Worm

参照

概要

詳しい説明

統計

ウイルス	Worm/Brontok.E.1
発見日：	30/12/2005
タイプ	ワーム
感染報告有り	はい
感染報告	低
感染の可能性	中～高
ダメージ・ポテンシャル	中
スタティック・ファイル	はい
ファイル・サイズ	44.507 バイト
MD5　チェックサム	9813ddb49dfc6fa115f28e3f48287d3b
VDFファージョン：	6.33.00.85 - Fri, 30 Dec 2005 11:21 (GMT+1)

一般情報 感染方法
   • Eメール
   • P2P(ピアツーピア)

別名
   • Kaspersky(カスペルスキー) Email-Worm.Win32.Brontok.q
   • ウイルスバスター Worm.Brontok.BX
   • Eset Win32/Brontok.AX

プラットフォーム/OS：
   • ウインドウズ 95
   • ウインドウズ 98
   • ウインドウズ 98 SE
   • ウインドウズ NT
   • ウインドウズ ME
   • ウインドウズ 2000
   • ウインドウズ XP
   • ウインドウズ 2003

副作用
   • それ自身のメール・エンジンを利用します。
   • セキュリティの設定を低くします。
   • レジストリの改変。

ファイルそれ自体を以下の場所にコピーします。
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%現在のユーザ名%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %home%\Local Settings\Application Data\smss.exe
   • %home%\Local Settings\Application Data\br%4桁のランダムな文字列%on.exe
   • %home%\Local Settings\Application Data\services.exe
   • %home%\Local Settings\Application Data\inetinfo.exe
   • %home%\Local Settings\Application Data\csrss.exe
   • %home%\Local Settings\Application Data\lsass.exe
   • %home%\Local Settings\Application Data\IDTemplate.exe
   • %home%\Templates\%5桁のランダムな文字列%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%現在のユーザ名%.com

以下のファイルを消去します。
   • %SYSDIR%\drivers\etc\hosts-Denied By-%現在のユーザ名%.com

以下のファイルが作成されます：

– %home%\Local Settings\Application Data\Loc.Mail.Bron.Tok\collected email addresses%.ini これは以下の内容を含む、悪意のないテキスト・ファイルです：
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– %WINDIR%\Tasks\At1.job マルウェアを決められた時間に起動するための予定されたタスクです。

ファイルをダウンロードしようとします：

– 場所は以下の通りです：
   • www.geocities.com/stabro7ok/**********
これを書き込んだ時点で、インターネット上でこのファイルにアクセスできなかったため、詳しい調査ができませんでした。

レジストリ以下のレジストリ・キーは、再起動後にそのプロセスを実行するために追加されたものです：

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%4桁のランダムな文字列%" = ""%home%\Local Settings\Application Data\bron%4桁のランダムな文字列%on.exe""

以下のレジストリ・キーが追加されます：

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"

以下のレジストリ・キーは変更されます：

Regedit（レジストリ編集ツール）及びタスクマネージャを無効化します。
– HKCU\software\microsoft\windows\currentversion\Policies\System
   前の値
   • "DisableCMD" = %ユーザ設定%
   • "DisableRegistryTools" = %ユーザ設定%
   新しい値
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

あらゆるExplorerの設定:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   前の値
   • "NoFolderOptions" = %ユーザ設定%
   新しい値
   • "NoFolderOptions" = dword:00000001

あらゆるExplorerの設定:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   前の値
   • "ShowSuperHidden" =%ユーザ設定%
   • "HideFileExt" = %ユーザ設定%
   • "Hidden" = %ユーザ設定%
   新しい値
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

Eメールそれはメールを送るためSMTPエンジンが搭載されています。送り先のサーバとの直接接続が構築されます。特徴は以下の通りです：

送信者
送信者のアドレスは改変されています(spoof)。

宛先:
– システム内のあるファイルにあるメールアドレス
– ウインドウズ・アドレス帳(WAB)を使って集められたメールアドレス

件名
件名は空欄になっています。

本文
メールの本文は以下の通りです：

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$

添付ファイル
添付ファイルの名前は以下のものから構成されています：

– 以下のうちのどれかで始まります：
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    その後に以下の偽の拡張子のうちのどれかが続きます：
   • exe

    ファイル拡張子は以下のうちのどれかです：
   • .doc
   • .xls

添付ファイルは、マルウェア自身のコピーです。

送信 アドレスの検索：
以下のファイルからメールアドレスを検索します：
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt

アドレスは無視します：
以下の文字列を含むアドレスにはメールは送られません：
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU

MX文字列を前に入れます：
メールサーバのIPアドレスを取るために、以下の文字列をドメイン名の前に入れます：
   • smtp.
   • mail.
   • ns1.

P2P P2P(ピアツーピア)ネットワーク内の他のシステムに感染するため、以下のアクションを実行します：すべての共有ディレクトリを検索します。

成功すると、以下のファイルが作成されます：
• %すべての
簡単な説明はココにあります。.

この説明は Irina Boldea によって Wed, 19 Jul 2006 12:21 (GMT+1) 書き込まれました。
この説明は Irina Boldea によって Wed, 02 Aug 2006 11:08 (GMT+1) 更新されました。

» About Malware
» About Phishing
» Viruses In the Wild

« back