Email-Worm.Win32.Brontok.q

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.

Инсталляция

При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки».

При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:

%UserProfile%\Local Settings\Application Data\br<случайный номер>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe

В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:

Brontok.A
By: HVM31
-- JowoBot #VM Community --

Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:

%WinDir%\sembako-<случайные символы>.exe

в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm-<случайные символы>.exe:

%WinDir%\ShellNew\bbm-<случайные символы>.exe

и в системный каталог Windows (%System%) под следующими именами:

%System%\DXBLBO.exe
%System%\cmd-bro-<случайные символы>.exe
%System%\%UserName%'s Setting.scr

Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:

%UserProfile%\%Autorun%\Empty.pif

в каталог шаблонов документов:

%UserProfile%\Шаблоны\<случайный номер>-NendangBro.com

и в каталог «Мои рисунки» каталога документов текущего пользователя:

%MyPictures%\Мои рисунки.exe

В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html.

Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.

После этого происходит регистрация автозапуска копий червя в системе:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=""
"Bron-Spizaetus-<случайные символы>"="%WinDir%\ShellNew\bbm-<случайные символы>.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=""
"Tok-Cirrhatus-<случайный номер>"="%UserProfile%\Local Settings\Application Data\
br<случайный номер>on .exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\sembako-<случайные символы>.exe""

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd-bro-<случайные символы>.exe"

Также после инсталляции червя в системном каталоге Windows создается файл sistem.sys, содержащий дату и время инсталляции червя в систему в формате mmddhhmm, где mm – месяц, dd – день, hh – часы, mm – минуты инсталляции червя в двухсимвольном формате.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

Также адреса для рассылки зараженных писем извлекаются из файлов со следующими расширениями:

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

Все найденные адреса сохраняются в каталоге %AppData%\Loc.Mail.Bron.Tok в виде файлов с именем почтового адреса, с расширением .ini и текстом:

Brontok.A
By: HVM31
-- JowoBot #VM Community –

Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Имя вложения:

Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка:

    * ccapps.exe
* jangan dibuka.exe
* kangen.exe
* my heart.exe
* myheart.exe
* syslove.exe
* untukmu.exe
* winword.exe

Деструктивная активность

Червь получает заголовок активного окна и перезагружает систему в случае присутствия в строке заголовка следующих подстрок:

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

Также червь изменяет содержимое файла autoexec.bat в корневом каталоге диска C:, добавляя в него строку «pause».

Другие названия

Email-Worm.Win32.Brontok.q («Лаборатория Касперского») также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)