Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe %Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe %Documents and Settings%\User\Local Settings\Application Data\lsass.exe %Documents and Settings%\User\Local Settings\Application Data\services.exe %Documents and Settings%\User\Local Settings\Application Data\smss.exe %Documents and Settings%\User\Local Settings\Application Data\winlogon.exe %Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif %Documents and Settings%\User\Templates\WowTumpeh.com %System%\<Имя пользователя>'s Setting.scr %Windir%\eksplorasi.pif %Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe" [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe %Windir%\eksplorasi.pif"
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced] "Hidden"="0" "ShowSuperHidden"="0" "HideFileExt"="1" [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"="1" "DisableCMD"="0"
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp cfm csv doc eml html php txt wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN AHNLAB ALADDIN ALERT ALWIL ANTIGEN ASSOCIATE AVAST AVIRA BILLING@ BUILDER CILLIN CONTOH CRACK DATABASE DEVELOP ESAFE ESAVE ESCAN EXAMPLE GRISOFT HAURI INFO@ LINUX MASTER MICROSOFT NETWORK NOD32 NORMAN NORTON PANDA PROGRAM PROLAND PROTECT ROBOT SECURITY SOURCE SYBARI SYMANTEC TRUST UPDATE VAKSIN VAKSIN VIRUS
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
<пустое поле>
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe Registry
Другие названия
Email-Worm.Win32.Brontok.a («Лаборатория Касперского») также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset)