Email-Worm.Win32. Brontok.a

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.

Инсталляция

При инсталляции червь копирует себя в следующие каталоги со следующими именами:

 %Documents and Settings%\User\Local Settings\Application Data\csrss.exe
 %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
 %Documents and Settings%\User\Local Settings\Application Data\lsass.exe
 %Documents and Settings%\User\Local Settings\Application Data\services.exe
 %Documents and Settings%\User\Local Settings\Application Data\smss.exe
 %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
 %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
 %Documents and Settings%\User\Templates\WowTumpeh.com
 %System%\<Имя пользователя>'s Setting.scr
 %Windir%\eksplorasi.pif
 %Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:

 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"
 
 [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
 "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"
 
 [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
 "Shell"="Explorer.exe %Windir%\eksplorasi.pif"
 

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):

 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 "NoFolderOptions"="1"
 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
 "Hidden"="0"
 "ShowSuperHidden"="0"
 "HideFileExt"="1"
 
 [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 "DisableRegistryTools"="1"
 "DisableCMD"="0"
 

Также червь создает следующую папку:

 %Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
 
 XX – 2 случайные цифры.

Распространение через email

Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:

 asp
 cfm
 csv
 doc
 eml
 html
 php
 txt
 wab
 

При этом червем игнорируются адреса, содержащие следующие подстроки:

 ADMIN
 AHNLAB
 ALADDIN
 ALERT
 ALWIL
 ANTIGEN
 ASSOCIATE
 AVAST
 AVIRA
 BILLING@
 BUILDER
 CILLIN
 CONTOH
 CRACK
 DATABASE
 DEVELOP
 ESAFE
 ESAVE
 ESCAN
 EXAMPLE
 GRISOFT
 HAURI
 INFO@
 LINUX
 MASTER
 MICROSOFT
 NETWORK
 NOD32
 NORMAN
 NORTON
 PANDA
 PROGRAM
 PROLAND
 PROTECT
 ROBOT
 SECURITY
 SOURCE
 SYBARI
 SYMANTEC
 TRUST
 UPDATE
 VAKSIN
 VAKSIN
 VIRUS

При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.

Характеристики зараженных писем

Тема письма:

<пустое поле>

Имя файла-вложения:

Kangen.exe

Прочее

Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:

 .exe
 Registry
 

Другие названия

Email-Worm.Win32.Brontok.a («Лаборатория Касперского») также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset)

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.