English
Deutsch
Francais
Español
Italian
Home
Virus Info
Worm/Brontok.W.A
Search
Home
Support
Solutions
Products
Downloads
Virus Info
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Company
Press
Partners
Newsletter
Worm/Brontok.W.A - Worm
это описание доступно в
Резюме
Подробное описание
Статистика
How would you rate this information?
Worthless
Excellent
Имя:
Worm/Brontok.W.A
Обнаружен:
21/08/2006
Вид:
Червь
В реальных условиях:
Нет
Отмеченные факты заражения:
Низкий
Потенциал распространения:
Средний
Потенциал повреждений:
От низкого до среднего
Файл статистики:
Да
Размер файла:
98.304 байт.
Контрольная сумма MD5:
892f49387317b9cf8a70dad3595db4e3
Версия VDF:
6.36.00.51
Версия IVDF:
6.36.00.62
Общее
Метод распространения:
• Локальная сеть
Псевдонимы (аliases):
• Symantec: Hacktool.Spammer
• Kaspersky: Email-Worm.Win32.Brontok.w
• F-Secure: Email-Worm.Win32.Brontok.w
• Sophos: W32/Brontok-BO
• Grisoft: SpamTool.GW
• Bitdefender: Win32.Brontok.AM@mm
Ранее были обнаружены как:
• SPR/Spam.VB.aqn
Операционные системы:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Последствия:
• Создает файлы
• Снижает уровень настроек безопасности
• Изменение реестра
Файлы
Создаются собственные копии:
•
%WINDIR%
\Kr0n1C.exe
• C:\Kr0n1C.exe
•
%SYSDIR%
\shell.exe
•
%SYSDIR%
\MrHelloween.scr
•
%SYSDIR%
\IExplorer.exe
• %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Empty.pif
•
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE
•
%home%
\Local Settings\Application Data\WINDOWS\SMSS.EXE
• C:\Kr0n1C\New Folder.exe
• C:\Data
%актуальное имя пользователя%
.exe
• C:\Data LocalService.exe
•
%текущая папка%
\
%текущее имя папки%
.exe
Создается следующая директория:
• C:\Kr0n1C
Создаются следующие файлы:
– C:\Puisi.txt Файл является безвредным текстовым файлом со следующим содержимым:
• Kr0n1C
Tertatihku Meratap Perih
Insan Hidup Terasa Mati
Dan Bahagiapun Sirna Seiring Waktu
Hanya Sepi Yang Mengisi Sendi - Sendi Kehidupanku
Ini Semua Karena Dirimu
Yang Selalu Mengiris Hatiku
Hari Ini Aku Tetap Menanti
Hadirmu Walau Hanya Mimpi
Dan Kini Telah Kusadari
Dirimu Hanya Ingin Menyakitiku
Hadirmu Hanya Akan Binasakanku
Saat Ini Dan Sampai Alam Yang Abadi
Cyber.nu
–
%WINDIR%
\msvbvm60.dll
–
%SYSDIR%
\msvbvm60.dll
– C:\Kr0n1C\Folder.htt
– C:\desktop.ini
Реестр
Добавляются ключи реестра для повторного запуска процессов после перезагрузки системы.
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "Kr0n1C"="
%WINDIR%
\Kr0n1C.exe"
• "Service
%актуальное имя пользователя%
"="
%home%
\Local Settings\Application Data\WINDOWS\SERVICES.EXE"
• "MSMSGS"="
%home%
\Local Settings\Application Data\WINDOWS\WINLOGON.EXE"
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "Logon
%актуальное имя пользователя%
"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
• "System Monitoring"="
%home%
\Local Settings\Application Data\WINDOWS\LSASS.EXE"
• "LogonLocalService"="
%home%
\Local Settings\Application Data\WINDOWS\CSRSS.EXE"
Изменяются следующие ключи реестра:
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
Прежнее значение:
• "AlternateShell"="cmd.exe"
Новое значение:
• "AlternateShell"="
%WINDIR%
\Kr0n1C.exe"
– [HKCR\comfile\shell\open\command]
Прежнее значение:
• @="%1" %*
Новое значение:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\batfile\shell\open\command]
Прежнее значение:
• @="%1" %*
Новое значение:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\piffile\shell\open\command]
Прежнее значение:
• @="%1" %*
Новое значение:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\lnkfile\shell\open\command]
Прежнее значение:
• @="%1" %*
Новое значение:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile\shell\open\command]
Прежнее значение:
• @="%1" %*
Новое значение:
• @="
%SYSDIR%
\shell.exe" "%1" %*"
– [HKCR\exefile]
Прежнее значение:
• @="Application"
Новое значение:
• @="File Folder"
Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Прежнее значение:
• "Hidden"=
%Настройки пользователя%
• "HideFileExt"=
%Настройки пользователя%
• "ShowSuperHidden"=
%Настройки пользователя%
Новое значение:
• "Hidden"=dword:00000000
• "HideFileExt"=dword:00000001
• "ShowSuperHidden"=dword:00000000
– [HKCU\Control Panel\Desktop]
Прежнее значение:
• "SCRNSAVE.EXE"=
%Настройки пользователя%
• "ScreenSaverIsSecure"=
%Настройки пользователя%
Новое значение:
• "SCRNSAVE.EXE"="
%SYSDIR%
\MRHELL~1.SCR"
• "ScreenSaverIsSecure"="0"
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Прежнее значение:
• "Shell"="Explorer.exe"
• "Userinit"="
%SYSDIR%
\userinit.exe"
Новое значение:
• "Shell"="Explorer.exe "
%SYSDIR%
\IExplorer.exe""
• "Userinit"="
%SYSDIR%
\userinit.exe,
%SYSDIR%
\IExplorer.exe"
Различные настройки Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Прежнее значение:
• "NoFolderOptions"=
%Настройки пользователя%
Новое значение:
• "NoFolderOptions"=dword:00000001
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
Прежнее значение:
• "Auto"="1"
• "Debugger"="drwtsn32 -p %ld -e %ld -g"
Новое значение:
• "Auto"="1"
• "Debugger"="
%SYSDIR%
\Shell.exe"
Отключение редактора реестра и менеджера задач:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Прежнее значение:
• "DisableCMD"=
%Настройки пользователя%
• "DisableTaskMgr"=
%Настройки пользователя%
• "DisableRegistryTools"=
%Настройки пользователя%
Новое значение:
• "DisableCMD"=dword:00000001
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
Прежнее значение:
• "DisableConfig"=
%Настройки пользователя%
• "DisableSR"=
%Настройки пользователя%
Новое значение:
• "DisableConfig"=dword:00000001
• "DisableSR"=dword:00000001
– [HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer]
Новое значение:
• "LimitSystemRestoreCheckpointing"=dword:00000001
• "DisableMSI"=dword:00000001
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
CabinetState]
Новое значение:
• "FullPath"=dword:00000001
Завершение процесса
Завершение процессов с одним из следующих имен окна:
• TASK; REG; ASM; DBG; W32; PROC; WALK; REST; AVS; OPTIONS; ANTI; VIRUS;
RegEdit; Registry Editor; Folder Options; Local Settings
Данные файла
Язык программирования:
Программа была написана на Visual Basic.
Краткое описание см.
здесь
.
Описание добавлено: Adriana Popa Tue, 19 Sep 2006 13:53 (GMT+1)
Описание обновлено: Adriana Popa Fri, 22 Sep 2006 12:52 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« back
Print this page
TR/Crypt.CFI.Gen
Worm/Kidala.G
Worm/Mytob.AD
Worm/Mytob.BF
Worm/Mytob.AT
BDS/Frauder.bu
DR/Autoit.I.1
TR/Spy.ZBot.DFR
TR/VB.aei
EXP/Java.Gimsh.A.40
Get comfortable up to the minute info from Avira as
Detects and removes the following malware and its variants:
Worm/Sober.J
Worm/Sober.P
Worm/Sober.Y
W32/Stanit.A
Worm/NetSky.AA
Worm/NetSky.B.1
Worm/NetSky.C
Worm/Netsky.D.Dam
Worm/NetSky.P
Worm/NetSky.X
Worm/Mytob.IN.2
Worm/Mytob.KS
TR/Spy.Banker.AATZ
TR/Spy.Banker.AATZ.1
TR/Spy.Banker.AATZ.2
TR/Spy.Banker.AATZ.3
Download here
Click
here
to get the panel...
© 2008 Avira GmbH
Copyright
Privacy
Sitemap
Feedback
Imprint
FAQ
Contact
Virus Info Worm/Brontok.W.A
Print this page
.gif)
