English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Brontok.W.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Brontok.W.A - Worm
Ver também
Sumário
Descrição completa
Estatísticas
How would you rate this information?
Worthless
Excellent
Vírus
Worm/Brontok.W.A
Data em que surgiu:
21/08/2006
Tipo:
Worm
Incluído na lista "In The Wild"
Não
Nível de danos:
Baixo
Nível de distribuição:
Médio
Nível de risco:
De baixo a médio
Ficheiro estático:
Sim
Tamanho:
98.304 Bytes
MD5 checksum:
892f49387317b9cf8a70dad3595db4e3
Versão VDF:
6.36.00.51
Versão IVDF:
6.36.00.62
Vulgarmente
Meio de transmissão:
• Rede local
Alias:
• Symantec: Hacktool.Spammer
• Kaspersky: Email-Worm.Win32.Brontok.w
• F-Secure: Email-Worm.Win32.Brontok.w
• Sophos: W32/Brontok-BO
• Grisoft: SpamTool.GW
• Bitdefender: Win32.Brontok.AM@mm
Identificado anteriormente como:
• SPR/Spam.VB.aqn
Sistemas Operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efeitos secundários:
• Descarrega ficheiros
• Baixa as definições de segurança
• Altera o registo do Windows
Ficheiros
Autocopia-se para as seguintes localizações
•
%WINDIR%
\Kr0n1C.exe
• C:\Kr0n1C.exe
•
%SYSDIR%
\shell.exe
•
%SYSDIR%
\MrHelloween.scr
•
%SYSDIR%
\IExplorer.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
•
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SMSS.EXE
• C:\Kr0n1C\New Folder.exe
• C:\Data
% nome do utilizador actual%
.exe
• C:\Data LocalService.exe
•
\
.exe
Cria a seguinte pasta:
• C:\Kr0n1C
São criados os seguintes ficheiros:
– C:\Puisi.txt É um ficheiro de texto não malicioso com o seguinte conteúdo:
• Kr0n1C
Tertatihku Meratap Perih
Insan Hidup Terasa Mati
Dan Bahagiapun Sirna Seiring Waktu
Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
Ini Semua Karena Dirimu
Yang Selalu Mengiris Hatiku
Hari Ini Aku Tetap Menanti
Hadirmu Walau Hanya Mimpi
Dan Kini Telah Kusadari
Dirimu Hanya Ingin Menyakitiku
Hadirmu Hanya Akan Binasakanku
Saat Ini Dan Sampai Alam Yang Abadi
Cyber.nu
–
%WINDIR%
\msvbvm60.dll
–
%SYSDIR%
\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini
Registry (Registo do Windows)
São adicionados os seguintes valores ao registo de forma a que os processos sejam executados depois do computador ser reiniciado:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Kr0n1C"="
%WINDIR%
\Kr0n1C.exe"
• "Service
% nome do utilizador actual%
"="
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
• "MSMSGS"="
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Logon
% nome do utilizador actual%
"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
• "System Monitoring"="
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE"
• "LogonLocalService"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
Altera as seguintes chaves de registo do Windows:
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Valor anterior:
• "AlternateShell"="cmd.exe"
Valor recente:
• "AlternateShell"="
%WINDIR%
\Kr0n1C.exe"
– [HKCR\comfile\shell\open\command]
Valor anterior:
• @="%1" %*
Valor recente:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\batfile\shell\open\command]
Valor anterior:
• @="%1" %*
Valor recente:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\piffile\shell\open\command]
Valor anterior:
• @="%1" %*
Valor recente:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\lnkfile\shell\open\command]
Valor anterior:
• @="%1" %*
Valor recente:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile\shell\open\command]
Valor anterior:
• @="%1" %*
Valor recente:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile]
Valor anterior:
• @="Application"
Valor recente:
• @="File Folder"
Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Valor anterior:
• "Hidden"=
%definições do utilizador %
• "HideFileExt"=
%definições do utilizador %
• "ShowSuperHidden"=
%definições do utilizador %
Valor recente:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000
– [HKCU\Control Panel\Desktop]
Valor anterior:
• "SCRNSAVE.EXE"=
%definições do utilizador %
• "ScreenSaverIsSecure"=
%definições do utilizador %
Valor recente:
• "SCRNSAVE.EXE"="
%SYSDIR%
\MRHELL~1.SCR"
• "ScreenSaverIsSecure"="0"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor anterior:
• "Shell"="Explorer.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe"
Valor recente:
• "Shell"="Explorer.exe "
%SYSDIR%
\IExplorer.exe""
• "Userinit"="
%SYSDIR%
\userinit.exe,
%SYSDIR%
\IExplorer.exe"
Desactiva o Regedit e o Gestor de Tarefas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Valor anterior:
• "NoFolderOptions"=
%definições do utilizador %
Valor recente:
• "NoFolderOptions"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
Valor anterior:
• "Auto"="1"
• "Debugger"="drwtsn32 -p %ld -e %ld -g"
Valor recente:
• "Auto"="1"
• "Debugger"="
%SYSDIR%
\Shell.exe"
Home page do Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Valor anterior:
• "DisableCMD"=
%definições do utilizador %
• "DisableTaskMgr"=
%definições do utilizador %
• "DisableRegistryTools"=
%definições do utilizador %
Valor recente:
• "DisableCMD"=dword:00000001
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Valor anterior:
• "DisableConfig"=
%definições do utilizador %
• "DisableSR"=
%definições do utilizador %
Valor recente:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
Valor recente:
• "LimitSystemRestoreCheckpointing"=dword:00000001
• "DisableMSI"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Valor recente:
• "FullPath"=dword:00000001
Terminar o processo
São terminados os processos que contêm um dos titulos seguintes:
• TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
RegEdit; Registry Editor; Folder Options; Local Settings
Detalhes do ficheiro
Linguagem de programação:
Ficheiro escrito em Visual Basic.
Veja
aqui
uma breve descrição.
Descrição adicionada por Adriana Popa em Tue, 19 Sep 2006 13:53 (GMT+1)
Descrição adicionada por Adriana Popa em Fri, 22 Sep 2006 12:52 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Mytob.AD
Worm/Kidala.G
Worm/Mytob.BF
Worm/Mytob.AT
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Brontok.W.A
Print this page
.gif)
