Russian
Вход
Поиск
Интернет находится в нормальном состоянии, крупных эпидемий и других серьезных инцидентов службой мониторинга «Лаборатории Касперского» не зафиксировано. Уровень опасности: 1

ГлавнаяОписанияEmail-Worm.Win32.Brontok.q

Email-Worm.Win32.Brontok.q

Время детектирования 11 окт 2006 16:49 MSK
Время выпуска обновления 21 авг 2007 15:52 MSK
Описание опубликовано 11 окт 2006 16:49 MSK

Технические детали
Деструктивная активность

Технические детали

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.

Инсталляция

При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки».

При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 "DisableRegistryTools"="1"
 "DisableCMD"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 "Hidden"="0"
 "HideFileExt"="1"
 "ShowSuperHidden"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 "NoFolderOptions"="1"

Например, при запуске редактора реестра выводится следующее сообщение:

Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:

%UserProfile%\Local Settings\Application Data\br<случайный номер>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe

В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:

Brontok.A
By: HVM31
-- JowoBot #VM Community --

Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:

%WinDir%\sembako-<случайные символы>.exe

в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm-<случайные символы>.exe:

%WinDir%\ShellNew\bbm-<случайные символы>.exe

и в системный каталог Windows (%System%) под следующими именами:

%System%\DXBLBO.exe
%System%\cmd-bro-<случайные символы>.exe
%System%\%UserName%'s Setting.scr

Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:

%UserProfile%\%Autorun%\Empty.pif

в каталог шаблонов документов:

%UserProfile%\Шаблоны\<случайный номер>-NendangBro.com

и в каталог «Мои рисунки» каталога документов текущего пользователя:

%MyPictures%\Мои рисунки.exe

В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html:

при просмотре которой в браузере отображается следующее сообщения:

Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.

После этого происходит регистрация автозапуска копий червя в системе:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Bron-Spizaetus"=""
 "Bron-Spizaetus-<случайные символы>"="%WinDir%\ShellNew\bbm-<случайные символы>.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
 "Tok-Cirrhatus"=""
 "Tok-Cirrhatus-<случайный номер>"="%UserProfile%\Local Settings\Application Data\br<случайный номер>on .exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="Explorer.exe "%WinDir%\sembako-<случайные символы>.exe""

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
 "AlternateShell"="cmd-bro-<случайные символы>.exe"

Также после инсталляции червя в системном каталоге Windows создается файл sistem.sys, содержащий дату и время инсталляции червя в систему в формате mmddhhmm, где mm – месяц, dd – день, hh – часы, mm – минуты инсталляции червя в двухсимвольном формате.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

Также адреса для рассылки зараженных писем извлекаются из файлов со следующими расширениями:

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

Все найденные адреса сохраняются в каталоге %AppData%\Loc.Mail.Bron.Tok в виде файлов с именем почтового адреса, с расширением .ini и текстом:

Brontok.A
By: HVM31
-- JowoBot #VM Community –

Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Имя вложения:

Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка:

  • ccapps.exe
  • jangan dibuka.exe
  • kangen.exe
  • my heart.exe
  • myheart.exe
  • syslove.exe
  • untukmu.exe
  • winword.exe

Текст письма:

Указанная выше HTML-страничка about.Brontok.A.html является текстом зараженного сообщения.


Деструктивная активность

Червь получает заголовок активного окна и перезагружает систему в случае присутствия в строке заголовка следующих подстрок:

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

Также червь изменяет содержимое файла autoexec.bat в корневом каталоге диска C:, добавляя в него строку «pause».



Печать
Bookmark and Share
Закладки
Вирусы и черви
Email-Worm

Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).

В первом случае код червя активизируется при открытии (запуске) заражённого вложения, во втором — при открытии ссылки на заражённый файл. В обоих случаях эффект одинаков — активизируется код червя.

Для отправки зараженных сообщений почтовые черви используют различные способы. Наиболее распространены:

  • прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку;
  • использование сервисов MS Outlook;
  • использование функций Windows MAPI.

Различные методы используются почтовыми червями для поиска почтовых адресов, на которые будут рассылаться зараженные письма. Почтовые черви:

  • рассылают себя по всем адресам, обнаруженным в адресной книге MS Outlook;
  • считывает адреса из адресной базы WAB;
  • сканируют «подходящие» файлы на диске и выделяет в них строки, являющиеся адресами электронной почты;
  • отсылают себя по всем адресам, обнаруженным в письмах в почтовом ящике (при этом некоторые почтовые черви «отвечают» на обнаруженные в ящике письма).

Многие черви используют сразу несколько из перечисленных методов. Встречаются также и другие способы поиска адресов электронной почты.


Другие модификации
Email-Worm.Win32.Brontok.a

Другие названия

Email-Worm.Win32.Brontok.q («Лаборатория Касперского») также известен как:

  • Virus: W32/Rontokbro.gen@MM (McAfee)
  • W32/Brontok-Gen (Sophos)
  • Worm.Brontok-16 (ClamAV)
  • W32/Brontok.L.worm (Panda)
  • W32/Brontok.A.gen!Eldorado (FPROT)
  • Worm:Win32/Brontok@mm (MS(OneCare))
  • Win32.HLLM.Brontok.15 (DrWeb)
  • Trojan.Generic.1934606 (BitDef7)
  • I-Worm.Brontok!zefTEN176PQ (VirusBuster)
  • Win32:Brontok-CE [Wrm] (AVAST)
  • Email-Worm.Win32.Brontok (Ikarus)
  • Worm/Brontok.FG (AVG)
  • WORM/Brontok.Q.153 (AVIRA)
  • W32.Rontokbro@mm (NAV)
  • NseCheckFile2() returned 0x00010018 (Norman)
  • Trojan.Win32.Mnless.dyr (Rising)
  • I-Worm.Brontok!zefTEN176PQ (VirusBusterBeta)

© ЗАО «Лаборатория Касперского», 1997-2012
Ведущий производитель систем защиты от вирусов, спама и хакерских атак
Зарегистрированные товарные знаки и знаки обслуживания являются собственностью их правообладателей

kaspersky.ru

Продукты

Магазин

Угрозы

Поддержка

Загрузить

Партнеры

О компании

Поиск

securelist.com

Угрозы

Аналитика

Блог

Описания

Глоссарий

RSS-каналы

Контакты

Поиск