Контакт
О компании
Пресса
Бета-тест
Language:
Русский
English
Deutsch
Français
Español
Italiano
Português
Русский
Для дома
Avira Antivirus Premium
Avira Internet Security
Для предприятий
Клиент-сервер
Avira Professional Security
Avira Server Security
Avira Business Security Suite
Avira Endpoint Security
Small Business
Сетевые шлюзы
Avira AntiVir MailGate
Avira MailGate Suite
Avira AntiVir Exchange
Avira AntiVir WebGate
Avira WebGate Suite
Avira AntiVir GateWay Bundle
Avira AntiVir SharePoint
Интеграция
Anti-Malware SDK (SAVAPI)
Antispam SDK (SPACE)
Rebranding и комплектация
Услуги по интеграции
Образовательная Cкидка
Поддержка
Для дома
Обзор
Последние новости
Видеоуроки
База знаний
Для предприятий
Обзор
Последние новости
База знаний
Вирусная лаборатория
Описание вирусов
Статистика
VDF История
Вирусы In the Wild
О вредоносном ПО
Отправить подозрительный файл
Загрузка
Загрузка продуктов
Техническая документация
Жизненный цикл продуктов
Обновление VDF
Партнеры
Поиск партнеров
Стать партнером Avira
Аффилированные партнеры
Бесплатнo
Download
Поиск
Резюме
Полное описание
Статистика
Имя:
Worm/Brontok.E.1
Обнаружен:
30/12/2005
Вид:
Червь
В реальных условиях:
Да
Отмеченные факты заражения:
Низкий
Потенциал распространения:
От среднего до высокого
Потенциал повреждений:
Средний
Файл статистики:
Да
Размер файла:
44.507 байт.
Контрольная сумма MD5:
9813ddb49dfc6fa115f28e3f48287d3b
Версия VDF:
6.33.00.85
Общее
Метод распространения:
• Email
• Одноранговая сеть
Псевдонимы (аliases):
• Kaspersky: Email-Worm.Win32.Brontok.q
• VirusBuster: Worm.Brontok.BX
• Eset: Win32/Brontok.AX
Операционные системы:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Использует собственный почтовый движок
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создаются собственные копии:
•
%WINDIR%
\ShellNew\RakyatKelaparan.exe
•
%SYSDIR%
\cmd-brontok.exe
•
%SYSDIR%
\
%актуальное имя пользователя%
's Setting.scr
•
%WINDIR%
\KesenjanganSosial.exe
• %HOME%\Local Settings\Application Data\smss.exe
• %HOME%\Local Settings\Application Data\br
%случайная комбинация из четырех букв%
on.exe
• %HOME%\Local Settings\Application Data\services.exe
• %HOME%\Local Settings\Application Data\inetinfo.exe
• %HOME%\Local Settings\Application Data\csrss.exe
• %HOME%\Local Settings\Application Data\lsass.exe
• %HOME%\Local Settings\Application Data\IDTemplate.exe
• %HOME%\Templates\
%случайная комбинация из пяти букв%
-NendangBro.com
•
%SYSDIR%
\drivers\etc\hosts-Denied By-
%актуальное имя пользователя%
.com
Удаляется следующий файл:
•
%SYSDIR%
\drivers\etc\hosts-Denied By-
%актуальное имя пользователя%
.com
Создаются следующие файлы:
– %HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\collected email addresses%.ini Файл является безвредным текстовым файлом со следующим содержимым:
• Brontok.A
By: HVM31
-- JowoBot
VM Community --
–
%WINDIR%
\Tasks\At1.job Запланированная задача в виде данного файла запускается в заранее определенное время.
Попытка загрузки следующего файла:
– Следующий URL:
• www.geocities.com/stabro7ok/**********
На момент проверки данный файл не был доступен.
Реестр
Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.
– HKLM\software\microsoft\windows\currentversion\run
• "Bron-Spizaetus" = ""
%WINDIR%
\ShellNew\RakyatKelaparan.exe""
– HKCU\software\microsoft\windows\currentversion\run
• "Tok-Cirrhatus" = ""
• "Tok-Cirrhatus-
%случайная комбинация из четырех букв%
" = ""%HOME%\Local Settings\Application Data\bron
%случайная комбинация из четырех букв%
on.exe""
Добавляется следующий ключ реестра:
– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
• "AlternateShell" = "cmd-brontok.exe"
Изменяются следующие ключи реестра:
Отключение редактора реестра и менеджера задач:
– HKCU\software\microsoft\windows\currentversion\Policies\System
Прежнее значение:
• "DisableCMD" =
%Настройки пользователя%
• "DisableRegistryTools" =
%Настройки пользователя%
Новое значение:
• "DisableCMD" = dword:00000000
• "DisableRegistryTools" = dword:00000000
Различные настройки Explorer:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
Прежнее значение:
• "NoFolderOptions" =
%Настройки пользователя%
Новое значение:
• "NoFolderOptions" = dword:00000001
Различные настройки Explorer:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
Прежнее значение:
• "ShowSuperHidden" =
%Настройки пользователя%
• "HideFileExt" =
%Настройки пользователя%
• "Hidden" =
%Настройки пользователя%
Новое значение:
• "ShowSuperHidden" = dword:00000000
• "HideFileExt" = dword:00000001
• "Hidden" = dword:00000000
Email
Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
От:
Адрес отправителя был фальсифицирован.
Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты
Тема:
Не указана тема письма.
Тело:
Тело письма имеет следующий вид:
• BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
-- Hentikanlah kebobrokan di negeri ini --
4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
+ Send to %NUSAKAMBANGAN%,
5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
7. Stop Pornografi ) Pornoaksi
8. SAY NO TO DRUGS $$$
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh:
Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah
[ By: HVM64 ]
-- JowoBot &VM Community --
$$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$
Прикрепленный файл:
Имя прикрепленного файла образуется следующим образом:
– Начинается одним из следующих:
• PATAH
• HATI
• CINTA
• UNTUKMU
• DATA-TEMEN
• RIYANI
• JANGKARU
• KANGEN
• JROX
Имеет одно из следующих фальшивых расширений файлов:
• exe
Одно из следующих расширений файла:
• .doc
• .xls
Прикрепленный файл является копией вредоносной программы:
Отправка
Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
• .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt
Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
• DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
.CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
.WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU
Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
• smtp.
• mail.
• ns1.
P2P
Предпринимаемые для инфицирования других систем в одноранговой сети действия: Поиск всех папок общего доступа.
При успешном завершении поиска создается следующий файл:
•
%все папки о
Описание добавил Irina Boldea в(о) среда, 19 июля 2006 г.
Описание обновил Irina Boldea в(о) среда, 2 августа 2006 г.
Назад
.
.
.
.
