Full description

Vírus	Worm/Brontok.J
Data em que surgiu:	30/03/2006
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Baixo
Nível de distribuição:	Médio
Nível de risco:	Médio
Ficheiro estático:	Não
Tamanho:	45.120 Bytes
Versão VDF:	6.34.00.117

Vulgarmente Meio de transmissão:
   • E-mail

Alias:
   • Symantec: W32.Rontokbro.X@mm
   • Mcafee: W32/Rontokbro
   • Kaspersky: Email-Worm.Win32.Brontok.n
   • TrendMicro: WORM_RONTOKBR.AO
   • Bitdefender: Win32.Brontok.W@mm

Sistemas Operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Desactiva aplicações de segurança
   • Descarrega ficheiros
   • Utiliza o seu próprio motor de E-mail
   • Altera o registo do Windows

Logo a seguir a ser visualizada a seguinte informação:

Ficheiros Autocopia-se para as seguintes localizações
   • %WINDIR%\j%dependente do sistema%.exe
   • %SYSDIR%\c%dependente do sistema%k.com
   • %SYSDIR%\s%dependente do sistema%\zh%dependente do sistema%y.exe
   • %WINDIR%\o%dependente do sistema%.exe
   • %WINDIR%\_default%dependente do sistema%.pif
   • %HOME%\Local Settings\Application Data\dv%dependente do sistema%0x\yesbron.com
   • %WINDIR%\Us%dependente do sistema%\qm%dependente do sistema%.exe
   • %SYSDIR%\s%dependente do sistema%\m%dependente do sistema%.exe
   • %SYSDIR%\s%dependente do sistema%\zh%dependente do sistema%y.exemsatr.bin
   • %SYSDIR%\s%dependente do sistema%\csrss.exe
   • %SYSDIR%\s%dependente do sistema%\services.exe
   • %SYSDIR%\s%dependente do sistema%\lsass.exe
   • %SYSDIR%\s%dependente do sistema%\smss.exe
   • %SYSDIR%\s%dependente do sistema%\winlogon.exe
   • %SYSDIR%\s%dependente do sistema%\o%dependente do sistema%.exe
   • %HOME%\Local Settings\Application Data\jalak-%dependente do sistema%-bali.com

Muda o nome do seguinte ficheiro:

    • %SYSDIR%\msvbm60.dll Para: %SYSDIR%\msvbm60.dll.%vários dígitos aleatórios%

São criados os seguintes ficheiros:

– Ficheiros temporários que poderam ser apagados mais tarde:
   • %SYSDIR%\s%dependente do sistema%\domlist.txt
   • %SYSDIR%\s%dependente do sistema%\getdomlist.txt
   • %SYSDIR%\s%dependente do sistema%\brdom.bat

– %SYSDIR%\s%dependente do sistema%\Spread.Mail.Bro\%endereço de e-mail do destinatário%.ini É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Brontok.C
     By:JowoBot

– c:\Baca Bro !!!.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • BRONTOK.C[22]



     Sedikit Jawaban u/ Membungkam Mulut Sesumbar 'MEREKA'.

     Nobron = Satria Dungu = Nothing !!!
     Romdil = Tukang Jiplak = Nothing !!!

     Nobron & Romdil -->> Kicked by The Amazing Brontok




      [ By JowoBot ]

– %SYSDIR%\s%dependente do sistema%\c.bron.tok.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
   • Brontok.C
     By:JowoBot

– %WINDIR%\Tasks\At1.job Tarefa agendada que executa o malware em horários predefinidos.
– %WINDIR%\Tasks\At2.job Tarefa agendada que executa o malware em horários predefinidos.

Tenta efectuar o download de alguns ficheiros:

– A partir da seguinte localização:
   • http://www.net4free.org/Arts/bddwyrk/**********
Encontra-se no disco rígido: %SYSDIR%\s%dependente do sistema%\zh%dependente do sistema%y.exeupi22xbm.ini

– A partir da seguinte localização:
   • http://debuging.com/WS1/cgi/x.cgi?NAVG=Tracker&username=dudxwd
Encontra-se no disco rígido: %SYSDIR%\s%dependente do sistema%\svt22sj.tok

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "f%dependente do sistema%Use"=""%SYSDIR%\s%dependente do sistema%\zh%dependente do sistema%y.exe""

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • "f%dependente do sistema%Use"=""%HOME%\Local Settings\Application Data\dv%dependente do sistema%0x\yesbron.com""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "A%dependente do sistema%r"=""%WINDIR%\j%dependente do sistema%.exe""

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "A%dependente do sistema%r"=""%WINDIR%\_default%dependente do sistema%.pif""

Os valores das seguintes chaves registo do windows são eliminados:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Tok-Cirrhatus-%dependente do sistema%Usec
   • Tok-Cirrhatus
   • Tok-Cirrhatus-%dependente do sistema%

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Adie Suka Kamu
   • Adie Strio X
   • SysYuni
   • SysDiaz
   • Sys_Romantic-Devil.R
   • SysRia
   • Pluto
   • DllHost
   • iExplorer
   • lExplorer
   • dkernel.exe
   • dkernel
   • Security
   • local service
   • SymRun
   • ccapp
   • CCAPPS
   • LoadServices
   • LoadService
   • MsPatch
   • Bron-Spizaetus-%dependente do sistema%XPPM
   • Bron-Spizaetus

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   run]
   • Tok-Cirrhatus-%dependente do sistema%Usec
   • brl

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • Bron-Spizaetus-%dependente do sistema%XPPM

É adicionada a seguinte chave de registo:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="c_%dependente do sistema%k.com"

Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Hidden"=%definições do utilizador %
   • "HideFileExt"=%definições do utilizador %
   • "ShowSuperHidden"=%definições do utilizador %
   Valor recente:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableRegistryTools"=%definições do utilizador %
   Valor recente:
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"=%definições do utilizador %
   • "Userinit"=%definições do utilizador %
   Valor recente:
   • "Shell"="Explorer.exe "%WINDIR%\o%dependente do sistema%.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%WINDIR%\j%dependente do sistema%.exe"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
A linguagem na qual o e-mail é enviado depende do nível do domínio.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.

Formato do email:

Assunto: My Best Photo
Body:
   • Hi,
     I want to share my photo with you.
     Wishing you all the best.

     Regards,
Assunto: Fotoku yg Paling Cantik
Body:
   • Hi,
     Aku lg iseng aja pengen kirim foto ke kamu.
     Jangan lupain aku ya !.

     Thanks,

Atalho:
O conteúdo do ficheiro não é uma cópia de si próprio mas de outro malware.

O ficheiro de atalho tem o seguinte nome:
   • Photo.zip

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • csv
   • asp
   • html
   • eml
   • htm
   • doc
   • cfm
   • wab
   • txt

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • pcmag; pcplus; pcmedia; chip; yahoo; abuse; borland; -_; _-; __; --;
      acer; compaq; torvald; trovald; detik; .ppt; .cfm; .eml; .txt; .jpg;
      .gif; .xls; .doc; .pdf; anony; coding; guru; code; script; @mm; w32;
      _@; @_; -@; @-; ._; _.; .-; -.; NONE; CASTLE; WINRAR; WINZIP; HELP;
      IRFANVIEW; MSDN; .CA.COM; PROMO; SALES; CLICK; IPTEK; USERNAME;
      SIERRA; STUDIO; TELECOM; LUCENT; NASA; ELECTRO; ELEKTRO; SYNDICAT;
      LOOKSMART; @123; @ABC; XANDROS; BUNTU; SUSE; REDHA; SLACK; @MAC; FUJI;
      INFORMA; TRACK; KDE; IEEE; LAB; MATH; BUG; FREE; REGIST; SPYW; SECUN;
      COMPUTE; COMPUSE; BROWSE; ALWIL; ROBOT; ANTIGEN; SYBARI; NOD32; HAURI;
      ESCAN; PROLAND; AHNLAB; DATABASE; BUILDER; ALADDIN; PROTECT; ESAFE;
      ESAVE; TRUST; AVAST; AVIRA; ADMIN; ZOMBIE; SPERSKY; GOOGLE; SUN.;
      POSTGRE; MYSQL; APACHE; NVIDIA; W3.; NOKIA; FUJITSU; SIEMENS; TREND;
      MICRO; LOTUS; CISCO; SEKUR; RELAY; GATEWAY; GROUP; OVERTURE; RESPONSE;
      NEWS; NOVELL; ALERT; OPERA; MOZILLA; NETSCAPE; ARCHIEVE; SERVICE;
      CANON; XEROX; HP.; DOWNLOAD; CNET; ZDNET; ZEND; PROXY; SERVER;
      RECIPIENT; FUCK; ADOBE; MACRO; INTEL.; IBM.; FEEDBACK; BLEEP; BLACK;
      DARK; SENIOR; KOMPUTER; FOO@; DEMO; HIDDEN; DOMAIN; BILLING@; INFO@;
      CONTOH; EXAMPLE; SMTP; XXX; ..; TEST; NETWORK; SOURCE; PROGRAM; WWW;
      .@; @.; ASDF; SOME; YOUR; BLAH; SPAM; SOFT; PANDA; NORMAN; NORTON;
      ASSOCIATE; SYMANTEC; SECURITY; CILLIN; GRISOFT; AVG; LINUX; CRACK;
      HACK; VIRUS; MICROSOFT; MASTER; SUPPORT; SECURE; UPDATE; DEVELOP;
      VAKSIN

Adicinado texto MX ao início:
De forma a obter o endereço IP do servidor de email tem capacidade de adicionar (ao início) do nome de domínio os seguintes textos:
   • ns1.
   • mail.
   • smtp.

Hospedeiros O ficheiro hospedeiro sofre as seguintes alterações:

– Neste caso valores existentes serão alterados.

– O acesso aos seguintes domínios é bloqueado:
   • mcafee.com; www.mcafee.com; mcafee.net; www.mcafee.net; mcafee.org;
      www.mcafee.org; mcafeesecurity.com; www.mcafeesecurity.com;
      mcafeesecurity.net; www.mcafeesecurity.net; mcafeesecurity.org;
      www.mcafeesecurity.org; mcafeeb2b.com; www.mcafeeb2b.com;
      mcafeeb2b.net; www.mcafeeb2b.net; mcafeeb2b.org; www.mcafeeb2b.org;
      nai.com; www.nai.com; nai.net; www.nai.net; nai.org; www.nai.org;
      vil.nai.com; www.vil.nai.com; vil.nai.net; www.vil.nai.net;
      vil.nai.org; www.vil.nai.org; grisoft.com; www.grisoft.com;
      grisoft.net; www.grisoft.net; grisoft.org; www.grisoft.org;
      kaspersky-labs.com; www.kaspersky-labs.com; kaspersky-labs.net;
      www.kaspersky-labs.net; kaspersky-labs.org; www.kaspersky-labs.org;
      kaspersky.com; www.kaspersky.com; kaspersky.net; www.kaspersky.net;
      kaspersky.org; www.kaspersky.org; downloads1.kaspersky-labs.com;
      www.downloads1.kaspersky-labs.com; downloads1.kaspersky-labs.net;
      www.downloads1.kaspersky-labs.net; downloads1.kaspersky-labs.org;
      www.downloads1.kaspersky-labs.org; downloads2.kaspersky-labs.com;
      www.downloads2.kaspersky-labs.com; downloads2.kaspersky-labs.net;
      www.downloads2.kaspersky-labs.net; downloads2.kaspersky-labs.org;
      www.downloads2.kaspersky-labs.org; downloads3.kaspersky-labs.com;
      www.downloads3.kaspersky-labs.com; downloads3.kaspersky-labs.net;
      www.downloads3.kaspersky-labs.net; downloads3.kaspersky-labs.org;
      www.downloads3.kaspersky-labs.org; downloads4.kaspersky-labs.com;
      www.downloads4.kaspersky-labs.com; downloads4.kaspersky-labs.net;
      www.downloads4.kaspersky-labs.net; downloads4.kaspersky-labs.org;
      www.downloads4.kaspersky-labs.org; download.mcafee.com;
      www.download.mcafee.com; download.mcafee.net; www.download.mcafee.net;
      download.mcafee.org; www.download.mcafee.org; norton.com;
      www.norton.com; norton.net; www.norton.net; norton.org;
      www.norton.org; symantec.com; www.symantec.com; symantec.net;
      www.symantec.net; symantec.org; www.symantec.org;
      liveupdate.symantecliveupdate.com;
      www.liveupdate.symantecliveupdate.com;
      liveupdate.symantecliveupdate.net;
      www.liveupdate.symantecliveupdate.net;
      liveupdate.symantecliveupdate.org;
      www.liveupdate.symantecliveupdate.org; liveupdate.symantec.com;
      www.liveupdate.symantec.com; liveupdate.symantec.net;
      www.liveupdate.symantec.net; liveupdate.symantec.org;
      www.liveupdate.symantec.org; update.symantec.com;
      www.update.symantec.com; update.symantec.net; www.update.symantec.net;
      update.symantec.org; www.update.symantec.org;
      securityresponse.symantec.com; www.securityresponse.symantec.com;
      securityresponse.symantec.net; www.securityresponse.symantec.net;
      securityresponse.symantec.org; www.securityresponse.symantec.org;
      sarc.com; www.sarc.com; sarc.net; www.sarc.net; sarc.org;
      www.sarc.org; vaksin.com; www.vaksin.com; vaksin.net; www.vaksin.net;
      vaksin.org; www.vaksin.org; forum.vaksin.com; www.forum.vaksin.com;
      forum.vaksin.net; www.forum.vaksin.net; forum.vaksin.org;
      www.forum.vaksin.org; norman.com; www.norman.com; norman.net;
      www.norman.net; norman.org; www.norman.org; trendmicro.com;
      www.trendmicro.com; trendmicro.net; www.trendmicro.net;
      trendmicro.org; www.trendmicro.org; trendmicro-europe.com;
      www.trendmicro-europe.com; trendmicro-europe.net;
      www.trendmicro-europe.net; trendmicro-europe.org;
      www.trendmicro-europe.org; ae.trendmicro-europe.com;
      www.ae.trendmicro-europe.com; ae.trendmicro-europe.net;
      www.ae.trendmicro-europe.net; ae.trendmicro-europe.org;
      www.ae.trendmicro-europe.org; it.trendmicro-europe.com;
      www.it.trendmicro-europe.com; it.trendmicro-europe.net;
      www.it.trendmicro-europe.net; it.trendmicro-europe.org;
      www.it.trendmicro-europe.org; secunia.com; www.secunia.com;
      secunia.net; www.secunia.net; secunia.org; www.secunia.org;
      winantivirus.com; www.winantivirus.com; winantivirus.net;
      www.winantivirus.net; winantivirus.org; www.winantivirus.org;
      pandasoftware.com; www.pandasoftware.com; pandasoftware.net;
      www.pandasoftware.net; pandasoftware.org; www.pandasoftware.org;
      esafe.com; www.esafe.com; esafe.net; www.esafe.net; esafe.org;
      www.esafe.org; f-secure.com; www.f-secure.com; f-secure.net;
      www.f-secure.net; f-secure.org; www.f-secure.org; europe.f-secure.com;
      www.europe.f-secure.com; europe.f-secure.net; www.europe.f-secure.net;
      europe.f-secure.org; www.europe.f-secure.org; bhs.com; www.bhs.com;
      bhs.net; www.bhs.net; bhs.org; www.bhs.org; datafellows.com;
      www.datafellows.com; datafellows.net; www.datafellows.net;
      datafellows.org; www.datafellows.org; cheyenne.com; www.cheyenne.com;
      cheyenne.net; www.cheyenne.net; cheyenne.org; www.cheyenne.org;
      ontrack.com; www.ontrack.com; ontrack.net; www.ontrack.net;
      ontrack.org; www.ontrack.org; sands.com; www.sands.com; sands.net;
      www.sands.net; sands.org; www.sands.org; sophos.com; www.sophos.com;
      sophos.net; www.sophos.net; sophos.org; www.sophos.org; icubed.com;
      www.icubed.com; icubed.net; www.icubed.net; icubed.org;
      www.icubed.org; perantivirus.com; www.perantivirus.com;
      perantivirus.net; www.perantivirus.net; perantivirus.org;
      www.perantivirus.org; castlecops.com; www.castlecops.com;
      castlecops.net; www.castlecops.net; castlecops.org;
      www.castlecops.org; virustotal.com; www.virustotal.com;
      virustotal.net; www.virustotal.net; virustotal.org;
      www.virustotal.org; free-av.com; www.free-av.com; free-av.net;
      www.free-av.net; free-av.org; www.free-av.org; antivirus.com;
      www.antivirus.com; antivirus.net; www.antivirus.net; antivirus.org;
      www.antivirus.org; anti-virus.com; www.anti-virus.com; anti-virus.net;
      www.anti-virus.net; anti-virus.org; www.anti-virus.org; ca.com;
      www.ca.com; ca.net; www.ca.net; ca.org; www.ca.org; fajarweb.com;
      www.fajarweb.com; fajarweb.net; www.fajarweb.net; fajarweb.org;
      www.fajarweb.org; jasakom.com; www.jasakom.com; jasakom.net;
      www.jasakom.net; jasakom.org; www.jasakom.org; backup.grisoft.com;
      www.backup.grisoft.com; backup.grisoft.net; www.backup.grisoft.net;
      backup.grisoft.org; www.backup.grisoft.org; infokomputer.com;
      www.infokomputer.com; infokomputer.net; www.infokomputer.net;
      infokomputer.org; www.infokomputer.org; playboy.com; www.playboy.com;
      playboy.net; www.playboy.net; playboy.org; www.playboy.org;
      sex-mission.com; www.sex-mission.com; sex-mission.net;
      www.sex-mission.net; sex-mission.org; www.sex-mission.org;
      pornstargals.com; www.pornstargals.com; pornstargals.net;
      www.pornstargals.net; pornstargals.org; www.pornstargals.org;
      kaskus.com; www.kaskus.com; kaskus.net; www.kaskus.net; kaskus.org;
      www.kaskus.org; 17tahun.com; www.17tahun.com; 17tahun.net;
      www.17tahun.net; 17tahun.org; www.17tahun.org; padinet.com;
      www.padinet.com; padinet.net; www.padinet.net; padinet.org;
      www.padinet.org; jeruk.padinet.com; www.jeruk.padinet.com;
      jeruk.padinet.net; www.jeruk.padinet.net; jeruk.padinet.org;
      www.jeruk.padinet.org; compactbyte.com; www.compactbyte.com;
      compactbyte.net; www.compactbyte.net; compactbyte.org;
      www.compactbyte.org; blog.compactbyte.com; www.blog.compactbyte.com;
      blog.compactbyte.net; www.blog.compactbyte.net; blog.compactbyte.org;
      www.blog.compactbyte.org; blogs.compactbyte.com;
      www.blogs.compactbyte.com; blogs.compactbyte.net;
      www.blogs.compactbyte.net; blogs.compactbyte.org;
      www.blogs.compactbyte.org

O ficheiro hospedeiro (alterado) terá a seguinte aparência:

Terminar o processo A seguinte lista de processos são terminados:
   • XPSHARE; ANTIVIRUS; MSPATCH; PARIS; PACAR; CEWE; AZHARI; FOTO; ALICIA;
      RENATA; MARIANA; SASTRO; DIAN; BROWNIES; KWASHER; VIRUS.; NURHALIZA;
      SITI.

São terminados os processos que contêm um dos titulos seguintes:
   • peid; task view; telanjang; bugil; naked; alwil; wintask; folder
      option; trojan; avira; windows script; commander; pc-media; killer;
      ertanto; CLEANER; REMOVER; PROCESS EXP; SYSINTERNAL; killbox;
      scheduled task; computer management; cmd.exe; group policy; system
      configuration; command prompt; registry; baca bro !!!; task manager

Detalhes do ficheiro Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com um empacotador de runtime.

Descrição enviada por Andrei Ivanes em quarta-feira, 5 de abril de 2006
Descrição atualizada por Andrei Ivanes em segunda-feira, 8 de maio de 2006

Voltar . . . .