Имя:Worm/Rontok.C
Обнаружен:12/10/2005
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Низкий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Да
Размер файла:81.920 байт.
Контрольная сумма MD5:8e794320563be58a0Bd69f10a351d5c8
Версия VDF:6.32.00.78

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Kaspersky: Email-Worm.Win32.Brontok.a
   •  TrendMicro: WORM_RONTOKBRO.D
   •  Sophos: W32/Brontok-A
   •  Grisoft: I-Worm/VB.FD
   •  VirusBuster: I-Worm.VB.DFN
   •  Eset: Win32/Brontok.A
   •  Bitdefender: Win32.Worm.Rontok.C


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Загружает файлы
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %WINDIR%\ShellNew\ElnorB.exe
   • %SYSDIR%\%актуальное имя пользователя%'s Setting.scr
   • %HOME%\Start Menu\Programs\Startup\Empty.pif
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\winlogon.exe
   • %HOME%\Templates\bararontok.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%актуальное имя пользователя%.com



Удаляется следующий файл:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%актуальное имя пользователя%.com



Создаются следующие файлы:

– %HOME%\Local Settings\Application Data\Bron.tok-4-7\%собранные электронные адреса%.ini Файл является безвредным текстовым файлом со следующим содержимым:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– C:\autoexec.bat Файл является безвредным текстовым файлом со следующим содержимым:
   • pause

%WINDIR%\Tasks\At1.job Запланированная задача в виде данного файла запускается в заранее определенное время.



Попытка загрузки следующих файлов:

– Следующий URL:
   • www.geocities.com/sdotlobxp/**********
На момент проверки данный файл не был доступен.

– Следующий URL:
   • www.geocities.com/sdotlobxp/**********
На момент проверки данный файл не был доступен.

 Реестр Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%случайная комбинация из четырех букв%" = ""%HOME%\Local Settings\Application Data\bron%случайная комбинация из четырех букв%on.exe""



Изменяются следующие ключи реестра:

Отключение редактора реестра и менеджера задач:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   Прежнее значение:
   • "DisableCMD" = %Настройки пользователя%
   • "DisableRegistryTools" = %Настройки пользователя%
   Новое значение:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

Различные настройки Explorer:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   Прежнее значение:
   • "NoFolderOptions" = %Настройки пользователя%
   Новое значение:
   • "NoFolderOptions" = dword:00000001

Различные настройки Explorer:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   Прежнее значение:
   • "ShowSuperHidden" =%Настройки пользователя%
   • "HideFileExt" = %Настройки пользователя%
   • "Hidden" = %Настройки пользователя%
   Новое значение:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.
– Полученные из WAB (адресная книга Windows) адреса электронной почты


Тема:
Не указана тема письма.


Тело:
Тело письма имеет следующий вид:

   • BRONTOK.A [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah


Прикрепленный файл:
Следующее имя прикрепленного файла:
   • kangen.exe

Прикрепленный файл является копией вредоносной программы:

 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


Присоединение последовательности символов:
Для получения IP адреса почтового сервера перед доменным именем указываются следующие строки:
   • smtp.
   • mail.
   • ns1.

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия: Поиск всех папок общего доступа.

   При успешном завершении поиска создается следующий файл:
   • %все папки о
Описание добавил Irina Boldea в(о) вторник, 7 ноября 2006 г.
Описание обновил Irina Boldea в(о) вторник, 7 ноября 2006 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.