RSS-каналы
Уровень опасности: 1
Email-Worm.Win32.Brontok.a
| Время детектирования | 01 фев 2006 20:56 MSK |
| Время выпуска обновления | 10 апр 2007 20:20 MSK |
| Описание опубликовано | 01 фев 2006 20:56 MSK |
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
Также червь создает следующую папку:
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp cfm csv doc eml html php txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN AHNLAB ALADDIN ALERT ALWIL ANTIGEN ASSOCIATE AVAST AVIRA BILLING@ BUILDER CILLIN CONTOH CRACK DATABASE DEVELOP ESAFE ESAVE ESCAN EXAMPLE GRISOFT HAURI INFO@ LINUX MASTER MICROSOFT NETWORK NOD32 NORMAN NORTON PANDA PROGRAM PROLAND PROTECT ROBOT SECURITY SOURCE SYBARI SYMANTEC TRUST UPDATE VAKSIN VAKSIN VIRUS
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
<пустое поле>
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe Registry
Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.
Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:
- прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
- использование сервисов MS Outlook;
- использование функций Windows MAPI.
Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:
- рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
- считывает адреса из адресной базы WAB;
- сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
- отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).
Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.
Email-Worm.
- HackTool.
Win32. Brontok. a («Лаборатория Касперского») - IM-Flooder.
Win32. Brontok. a («Лаборатория Касперского») - Trojan.
Win32. Brontok. a («Лаборатория Касперского») - Constructor.
Win32. Brontok. a («Лаборатория Касперского») - IM-Worm.
Win32. Brontok. a («Лаборатория Касперского») - Virus:
W32/Rontokbro. gen@MM (McAfee) - W32/Brontok-BZ (Sophos)
- Worm.
Brontok. AF (ClamAV) - Malicious Packer (Panda)
- W32/Broktok.
GC@mm (FPROT) - Worm:
Win32/Brontok. L@mm (MS(OneCare)) - Win32.
HLLM. Generic. 440 (DrWeb) - Win32/Brontok worm (Nod32)
- Win32.
Brontok. MO (BitDef7) - I-Worm.
Brontok. CU (VirusBuster) - Win32:
Brontok-AA [Wrm] (AVAST) - Email-Worm.
Win32. Brontok (Ikarus) - I-Worm/Brontok.
EE (AVG) - W32.
Rontokbro@mm (NAV) - NseCheckFile2() returned 0x00010018 (Norman)
- Worm.
Mail. Brontok. kx (Rising) - Email-Worm:
W32/Brontok. AS [FSE] (FSecure) - I-Worm.
Brontok. CU (VirusBusterBeta)
© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей