Precisa de ajuda? Peça à comunidade ou contrate um perito.
Acesse a Avira Answers
VrusWorm/Brontok.C.6.A
Tipo:Worm
Includo na lista "In The Wild"Sim
Nvel de danos:Baixo
Nvel de distribuio:De mdio a elevado
Nvel de risco:Mdio
Ficheiro esttico:Sim
Tamanho:45.458 Bytes
MD5 checksum:69b44a84e75c3d34a5ed5b49b43f2c8f

 Vulgarmente Meio de transmisso:
   • E-mail
   • Peer to Peer


Alias:
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  TrendMicro: WORM_BRONTOK.AM
   •  VirusBuster: I-Worm.Brontok.M
   •  Eset: Win32/Brontok.AT


Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efeitos secundrios:
   • Utiliza o seu prprio motor de E-mail
   • Baixa as definies de segurana
   • Altera o registo do Windows

 Ficheiros Autocopia-se para as seguintes localizaes
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%nome do utilizador actual%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%quatro caracteres aleatrios%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%cinco caracteres aleatrios%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nome do utilizador actual%.com



Elimina o seguinte ficheiro:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%nome do utilizador actual%.com



So criados os seguintes ficheiros:

%HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\%endereo de e-mail recolhidos%.ini um ficheiro de texto no malicioso com o seguinte contedo:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

C:\autoexec.bat um ficheiro de texto no malicioso com o seguinte contedo:
   • pause

%WINDIR%\Tasks\At1.job Tarefa agendada que executa o malware em horrios predefinidos.



Tenta efectuar o download do ficheiro:

A partir da seguinte localizao:
   • www.geocities.com/stabro7ok/**********
Ainda em fase de pesquisa.

 Registry (Registo do Windows) So adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%quatro caracteres aleatrios%" = ""%HOME%\Local Settings\Application Data\bron%quatro caracteres aleatrios%on.exe""



adicionada a seguinte chave de registo:

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



Altera as seguintes chaves de registo do Windows:

Home page do Internet Explorer:
HKCU\software\microsoft\windows\currentversion\Policies\System
   Valor anterior:
   • "DisableCMD" = %definies do utilizador %
   • "DisableRegistryTools" = %definies do utilizador %
   Valor recente:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Desactiva o Regedit e o Gestor de Tarefas:
HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Valor anterior:
   • "NoFolderOptions" = %definies do utilizador %
   Valor recente:
   • "NoFolderOptions" = dword:00000001

Desactiva o Regedit e o Gestor de Tarefas:
HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Valor anterior:
   • "ShowSuperHidden" =%definies do utilizador %
   • "HideFileExt" = %definies do utilizador %
   • "Hidden" = %definies do utilizador %
   Valor recente:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 E-mail Tem um motor SMTP integrado para enviar emails. criada uma ligao directa com o servidor de destino. Tem as seguintes caractersticas:


De:
O endereo do remetente falsificado.


Para:
– Endereos de email encontrados em determinados ficheiros no sistema.
 Endereos de e-mail recolhidos do WAB (Windows Address Book).


Assunto:
O assunto no contm texto.


Corpo:
O corpo do email o seguinte:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


Atalho:
O nome do ficheiro de atalho construdo a partir do seguinte:

–  Comea por um dos seguintes:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    Continua com uma das seguintes extenses falsas:
   • .doc
   • .xls

    A extenso do ficheiro uma das seguintes:
   • .exe

O ficheiro de atalho uma cpia do malware.

 Mailing Pesquisa endereos:
Procura endereos de email nos seguintes ficheiros:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Endereos evitados:
No envia emails para endereos com os seguintes blocos de texto:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Adicinado texto MX ao incio:
De forma a obter o endereo IP do servidor de email tem capacidade de adicionar (ao incio) do nome de domnio os seguintes textos:
   • smtp.
   • mail.
   • ns1.

 P2P De modo a infectar sistemas na comunidade P2P executa a seguinte aco: Procura por todos os directrios partilhados.

   Em caso de ser bem sucedido, criado o seguinte ficheiro:
   • %todas as pastas partilhadas%.exe

   Os ficheiros so cpias do prprio malware.

 Terminar o processo A seguinte lista de processos so terminados:
   • mcvsescn.exe; poproxy.exe; avgemc.exe; ccapps.exe; tskmgr.exe;
      syslove.exe; xpshare.exe; riyaniy_jangkaru.exe; systray.exe;
      ashmaisv.exe; aswupdsv.exe; nvcoas.exe; cclaw.exe; njeeves.exe;
      nipsvc.exe

So terminados os processos que contm um dos titulos seguintes:
   • REGISTRY; SYSTEM CONFIGURATION; COMMAND PROMPT; SHUT DOWN; SCRIPT
      HOST; LOG OFF WINDOWS; KILLBOX; TASKKILL; TASK KILL; HIJACK; BLEEPING;
      SYSINTERNAL; PROCESS EXP; FAJARWEB; REMOVER; CLEANER; GROUP; POLICY;
      MOVZX


 DoS Logo que se torna activo, inicia ataques DoS contra os seguintes destinos:
   • kaskus.com
   • tahun.com

 Detalhes do ficheiro Linguagem de programao:
O programa de malware est escrito em MS Visual C++.


Empacotador de Runtime:
De forma a agravar a deteco e reduzir o tamanho do ficheiro lanado com um empacotador de runtime.

Descrição enviada por Irina Boldea em terça-feira, 26 de setembro de 2006
Descrição atualizada por Irina Boldea em terça-feira, 26 de setembro de 2006

Voltar . . . .
https:// Esta janela é criptografada para sua segurança.