Имя:Worm/Brontok.W.A
Обнаружен:21/08/2006
Вид:Червь
В реальных условиях:Нет
Отмеченные факты заражения:Низкий
Потенциал распространения:Средний
Потенциал повреждений:От низкого до среднего
Файл статистики:Да
Размер файла:98.304 байт.
Контрольная сумма MD5:892f49387317b9cf8a70dad3595db4e3
Версия VDF:6.36.00.51
Версия IVDF:6.36.00.62 - вторник, 26 сентября 2006 г.

 Общее Метод распространения:
   • Локальная сеть


Псевдонимы (аliases):
   •  Symantec: Hacktool.Spammer
   •  Kaspersky: Email-Worm.Win32.Brontok.w
   •  F-Secure: Email-Worm.Win32.Brontok.w
   •  Sophos: W32/Brontok-BO
   •  Grisoft: SpamTool.GW
   •  Bitdefender: Win32.Brontok.AM@mm

Ранее были обнаружены как:
   •  SPR/Spam.VB.aqn


Операционные системы:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Создает файлы
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\Kr0n1C.exe
   • C:\Kr0n1C.exe
   • %SYSDIR%\shell.exe
   • %SYSDIR%\MrHelloween.scr
   • %SYSDIR%\IExplorer.exe
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE
   • %HOME%\Local Settings\Application Data\WINDOWS\SMSS.EXE
   • C:\Kr0n1C\New Folder.exe
   • C:\Data %актуальное имя пользователя%.exe
   • C:\Data LocalService.exe
   • %текущая папка%\%текущее имя папки%.exe



Создается следующая директория:
   • C:\Kr0n1C



Создаются следующие файлы:

– C:\Puisi.txt Файл является безвредным текстовым файлом со следующим содержимым:
   • Kr0n1C
     
     Tertatihku Meratap Perih
     Insan Hidup Terasa Mati
     Dan Bahagiapun Sirna Seiring Waktu
     Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
     
     Ini Semua Karena Dirimu
     Yang Selalu Mengiris Hatiku
     
     Hari Ini Aku Tetap Menanti
     Hadirmu Walau Hanya Mimpi
     
     Dan Kini Telah Kusadari
     Dirimu Hanya Ingin Menyakitiku
     Hadirmu Hanya Akan Binasakanku
     Saat Ini Dan Sampai Alam Yang Abadi
     
     
      Cyber.nu

%WINDIR%\msvbvm60.dll
%SYSDIR%\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Kr0n1C"="%WINDIR%\Kr0n1C.exe"
   • "Service%актуальное имя пользователя%"="%HOME%\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
   • "MSMSGS"="%HOME%\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Logon%актуальное имя пользователя%"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
   • "System Monitoring"="%HOME%\Local Settings\Application Data\WINDOWS\LSASS.EXE"
   • "LogonLocalService"="%HOME%\Local Settings\Application Data\WINDOWS\CSRSS.EXE"



Изменяются следующие ключи реестра:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   Прежнее значение:
   • "AlternateShell"="cmd.exe"
   Новое значение:
   • "AlternateShell"="%WINDIR%\Kr0n1C.exe"

– [HKCR\comfile\shell\open\command]
   Прежнее значение:
   • @="%1" %*
   Новое значение:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\batfile\shell\open\command]
   Прежнее значение:
   • @="%1" %*
   Новое значение:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\piffile\shell\open\command]
   Прежнее значение:
   • @="%1" %*
   Новое значение:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\lnkfile\shell\open\command]
   Прежнее значение:
   • @="%1" %*
   Новое значение:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile\shell\open\command]
   Прежнее значение:
   • @="%1" %*
   Новое значение:
   • @="%SYSDIR%\shell.exe" "%1" %*"

– [HKCR\exefile]
   Прежнее значение:
   • @="Application"
   Новое значение:
   • @="File Folder"

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Прежнее значение:
   • "Hidden"=%Настройки пользователя%
   • "HideFileExt"=%Настройки пользователя%
   • "ShowSuperHidden"=%Настройки пользователя%
   Новое значение:
   • "Hidden"=dword:00000000
   • "HideFileExt"=dword:00000001
   • "ShowSuperHidden"=dword:00000000

– [HKCU\Control Panel\Desktop]
   Прежнее значение:
   • "SCRNSAVE.EXE"=%Настройки пользователя%
   • "ScreenSaverIsSecure"=%Настройки пользователя%
   Новое значение:
   • "SCRNSAVE.EXE"="%SYSDIR%\MRHELL~1.SCR"
   • "ScreenSaverIsSecure"="0"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Прежнее значение:
   • "Shell"="Explorer.exe"
   • "Userinit"="%SYSDIR%\userinit.exe"
   Новое значение:
   • "Shell"="Explorer.exe "%SYSDIR%\IExplorer.exe""
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\IExplorer.exe"

Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Прежнее значение:
   • "NoFolderOptions"=%Настройки пользователя%
   Новое значение:
   • "NoFolderOptions"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
   Прежнее значение:
   • "Auto"="1"
   • "Debugger"="drwtsn32 -p %ld -e %ld -g"
   Новое значение:
   • "Auto"="1"
   • "Debugger"="%SYSDIR%\Shell.exe"

Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Прежнее значение:
   • "DisableCMD"=%Настройки пользователя%
   • "DisableTaskMgr"=%Настройки пользователя%
   • "DisableRegistryTools"=%Настройки пользователя%
   Новое значение:
   • "DisableCMD"=dword:00000001
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
   Прежнее значение:
   • "DisableConfig"=%Настройки пользователя%
   • "DisableSR"=%Настройки пользователя%
   Новое значение:
   • "DisableConfig"=dword:00000001
   • "DisableSR"=dword:00000001

– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
   Новое значение:
   • "LimitSystemRestoreCheckpointing"=dword:00000001
   • "DisableMSI"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Новое значение:
   • "FullPath"=dword:00000001

 Завершение процесса Завершение процессов с одним из следующих имен окна:
   • TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
      RegEdit; Registry Editor; Folder Options; Local Settings


 Данные файла Язык программирования:
 Программа была написана на Visual Basic.

Описание добавил Adriana Popa в(о) вторник, 19 сентября 2006 г.
Описание обновил Adriana Popa в(о) пятница, 22 сентября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.