Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/VB.ay.2
Data em que surgiu:05/10/2005
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:Mdio
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:81.920 Bytes
MD5 checksum:902792c0116adf49f55f111e82c81db0
Verso VDF:6.32.00.60

 Vulgarmente Meio de transmisso:
   • E-mail
   • Rede local


Alias:
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Descarrega um ficheiro malicioso
   • Utiliza o seu prprio motor de E-mail
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Altera o contedo de um ficheiro.
%raiz da unidade de sistema%\autoexec.bat

Com os contedos seguintes:
   • pause




criado o seguinte ficheiro:

%WINDIR%\Tasks\At1 Alm disso executa-se depois de gerado. Tarefa agendada que executa o malware em horrios predefinidos.



Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • http://www.geocities.com/jowobot456/**********
Ainda em fase de pesquisa. Usado para esconder um processo.

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Valor anterior:
   • "DisableCMD"=%definies do utilizador %
   • "DisableRegistryTools"=%definies do utilizador %
   Valor recente:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Valor anterior:
   • "NoFolderOptions"=%definies do utilizador %
   Valor recente:
   • "NoFolderOptions"=dword:00000001

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O assunto no contm texto.


Corpo:
O corpo do email o seguinte:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Atalho:
O ficheiro de atalho tem o seguinte nome:
   • Kangen.exe

O ficheiro de atalho uma cpia do malware.

 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • smtp.
   • mail.
   • ns1.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco:


Procura por todos os directrios partilhados.

   Em caso de ser bem sucedido, criado o seguinte ficheiro:
   • %todas as pastas partilhadas%.exe

   Os ficheiros so cpias do prprio malware.

 DoS Logo que se torna activo, inicia ataques DoS contra os seguintes destinos:
   • israel.gov.il
   • playboy.com

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em Visual Basic.

Descrição enviada por Irina Boldea em quinta-feira, 25 de maio de 2006
Descrição atualizada por Irina Boldea em quinta-feira, 25 de maio de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.