Имя:Worm/VB.ay.2
Обнаружен:05/10/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:81.920 байт.
Контрольная сумма MD5:902792c0116adf49f55f111e82c81db0
Версия VDF:6.32.00.60

 Общее Метод распространения:
   • Email
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: W32.Rontokbro.B@mm
   •  Mcafee: W32/Rontokbro.b@MM
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.B
   •  Sophos: W32/Brontok-B
   •  Grisoft: I-Worm/VB.DV
   •  VirusBuster: I-Worm.Brontok.AO
   •  Eset: Win32/Brontok.B
   •  Bitdefender: Win32.Brontok.A@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает вредоносного файл
   • Использует собственный почтовый движок
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %WINDIR%\INF\norBtok.exe
   • %ALLUSERSPROFILE%\Templates\A.kotnorB.com



Файл будет переписан.
%Корневая папка системного диска%\autoexec.bat

Со следующим содержимым:
   • pause




Создается файл:

%WINDIR%\Tasks\At1 После полного завершения процесса создания он запускается на выполнение. Запланированная задача в виде данного файла запускается в заранее определенное время.



Попытка загрузки следующего файла:

– Следующий URL:
   • http://www.geocities.com/jowobot456/**********
На момент проверки данный файл не был доступен. Применяется для сокрытия процесса.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "Tok-Cirrhatus"="%HOME%\Local Settings\Application Data\smss.exe"

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Bron-Spizaetus"="%WINDIR%\INF\norBtok.exe"



Изменяются следующие ключи реестра:

Отключение редактора реестра и менеджера задач:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Прежнее значение:
   • "DisableCMD"=%Настройки пользователя%
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableCMD"=dword:00000000
   • "DisableRegistryTools"=dword:00000001

Различные настройки Explorer:
– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Прежнее значение:
   • "NoFolderOptions"=%Настройки пользователя%
   Новое значение:
   • "NoFolderOptions"=dword:00000001

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Не указана тема письма.


Тело:
Тело письма имеет следующий вид:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
     -- Hentikan kebobrokan di negeri ini --
     1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
     ( Send to "NUSAKAMBANGAN")
     2. Stop Free Sex, Absorsi, & Prostitusi
     3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
     4. SAY NO TO DRUGS !!!
     -- KIAMAT SUDAH DEKAT --
     Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM64]
     -- JowoBot &VM Community --


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • Kangen.exe

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .HTM
   • .HTML
   • .TXT
   • .EML
   • .WAB
   • .ASP
   • .PHP
   • .CFM
   • .CSV
   • .DOC


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • PLASA; TELKOM; INDO; .CO; .ID; .GO; .ID; .MIL; .ID; .SCH.ID; .NET.ID;
      .OR.ID; .AC.ID; .WEB.ID; .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU;
      SATU


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • smtp.
   • mail.
   • ns1.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Поиск всех папок общего доступа.

   При успешном завершении поиска создается следующий файл:
   • %все папки о
Описание добавил Irina Boldea в(о) четверг, 25 мая 2006 г.
Описание обновил Irina Boldea в(о) четверг, 25 мая 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.