Full description

Vírus	Worm/Brontok.AH
Data em que surgiu:	08/02/2007
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	De baixo a médio
Nível de distribuição:	Baixo
Nível de risco:	De baixo a médio
Ficheiro estático:	Sim
Tamanho:	335.872 Bytes
MD5 checksum:	e5289f7c1ab17cfe7244eac16d7209ab
Versão IVDF:	6.37.01.60 - quinta-feira, 8 de fevereiro de 2007

Vulgarmente Alias:
   • Mcafee: W32/Rontokbro.gen
   • Sophos: W32/Brontok-B
   • Bitdefender: Trojan.VB.AutoRun.T
   • Panda: W32/Brontok.JK.worm
   • Eset: Win32/Brontok.BW

Sistemas Operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efeitos secundários:
   • Descarrega um ficheiro malicioso
   • Descarrega ficheiros maliciosos
   • Altera o registo do Windows

Ficheiros Autocopia-se para as seguintes localizações
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %SYSDIR%\2D Animation.scr
   • %HOME%\Templates\A.yaresoJ.com
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %WINDIR%\INF\esoJray.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Start Menu\Programs\Startup\index.pif
   • %HOME%\Local Settings\Application Data\inetinfo.exe

Altera o conteúdo de um ficheiro.
– C:\autoexec.bat

É criado o seguinte ficheiro:

– %HOME%\Local Settings\Application Data\Update.3.Jose.ray.bin

Tenta efectuar o download do ficheiro:

– A partir da seguinte localização:
   • http://www.geocities.com/jowobot123/**********

Tenta executar o seguinte ficheiro:

– Executa um dos seguintes ficheiros:
   • explorer.exe

– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\smss.exe"

– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\winlogon.exe"

– Executa um dos seguintes ficheiros:
   • at /delete /y

– Executa um dos seguintes ficheiros:
   • at 17:08 /every:M,T,W,Th,F,S,Su "%HOME%\Templates\A.yaresoJ.com"

– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\services.exe"

– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\lsass.exe"

– Executa um dos seguintes ficheiros:
   • "%HOME%\Local Settings\Application Data\inetinfo.exe"

Registry (Registo do Windows) São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:

São adicionadas as seguintes chaves ao registo:

– [HKCU\software\microsoft\windows\currentversion\Policies\System]
   • "DisableCMD"=dword:0x00000000
   • "DisableRegistryTools"=dword:0x00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • "NoFolderOptions"=dword:0x00000001

Altera as seguintes chaves de registo do Windows:

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar]
   Valor recente:
   • "Locked"=dword:0x00000001

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\Explorer]
   Valor recente:
   • "ITBarLayout"=hex:b'\x11\x00\x00\x00L\x00\x00\x00\x00\x00\x00\x004\x00\x00\x00\x1b\x00\x00\x00N\x00\x00\x00\x01\x00\x00\x00\x07\x00\x00\xa0\x0f\x00\x00\x05\x00\x00\x00b\x05\x00\x00&\x00\x00\x00\x02\x00\x00\x00!\x07\x00\x00\xa0\x0f\x00\x00\x04\x00\x00\x00!\x01\x00\x00\xa0\x0f\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'

– [HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]
   Valor recente:
   • "{01E04581-4EEE-11D0-BFE9-00AA005B4383}"=hex:b'\x81E\xe0\x01\xeeN\xd0\x11\xbf\xe9\x00\xaa\x00[C\x83\x10\x00\x00\x00\x00\x00\x00\x00\x01\xe02\xf4\x01\x00\x00\x00'

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em Visual Basic.

Descrição enviada por Petre Galan em sexta-feira, 23 de julho de 2010
Descrição atualizada por Petre Galan em sexta-feira, 23 de julho de 2010

Voltar . . . .

Proteçao especial para PCs

Produtos gratuitos

Produtos mais populares

Todos os produtos

Soluçoes em pacote

Estaçoes de trabalho

Server

Soluçoes em pacote

Mail Gateways

Web Gateways

Plataformas de colaboraçao

Usuários domésticos

Empresas

Laboratório de vírus

Mais suporte

Seja um parceiro Avira

Usuários domésticos

Empresas

Deseja apenas experimentar um produto?

Manuais e ferramentas