Email-Worm.Win32.Brontok.q
Podczas pierwszego uruchamiania zainfekowanego pliku na ekranie komputera wyświetlane jest okno Eksploratora Windows z otwartym folderem "Moje obrazy".
Podczas instalacji robak modyfikuje poniższe klucze rejestru systemowego w celu wyłączenia systemowych narzędzi pozwalających na przeglądanie i modyfikowanie rejestru, wiersza poleceń oraz wyświetlenia plików i folderów w Eksploratorze Windows.
"DisableRegistryTools"="1"
"DisableCMD"="0"
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
"NoFolderOptions"="1"
Podczas próby uruchomienia edytora rejestru na zainfekowanym komputerze na ekranie może pojawić się poniższy komunikat:
Następnie robak pobiera ścieżkę dostępu do danych aplikacji bieżącego użytkownika (%ProfilUżytkownika%Local SettingsApplication Data) i kopiuje swój kod z następującymi nazwami:
%ProfilUżytkownika%Local SettingsApplication Datar(losowa liczba)on.exe %ProfilUżytkownika%Local SettingsApplication Datacsrss.exe %ProfilUżytkownika%Local SettingsApplication Datainetinfo.exe %ProfilUżytkownika%Local SettingsApplication Datalsass.exe %ProfilUżytkownika%Local SettingsApplication Dataservices.exe %ProfilUżytkownika%Local SettingsApplication Datasmss.exe %ProfilUżytkownika%Local SettingsApplication Datasvchost.exe %ProfilUżytkownika%Local SettingsApplication Datawinlogon.exe
W tym samym folderze tworzony jest także plik tekstowy Kosong.Bron.Tok.txt (51 bajtów). Zawiera on poniższy tekst:
Brontok.A By: HVM31 -- JowoBot #VM Community --
Robak umieszcza także swoje kopie w folderze systemu Windows (%WinDir%) z poniższą nazwą:
%WinDir%sembako-(losowe symbole).exe
oraz w podfolderze ShellNew z nazwÄ…:
%WinDir%ShellNewbm-(losowe symbole).exe
oraz w folderze systemowym z następującymi nazwami:
%System%DXBLBO.exe %System%cmd-bro-(losowe symbole).exe %System%\%UserName%'s Setting.scr
Szkodnik kopiuje się także do foldera Autostart menu Start z nazwą:
%ProfilUżytkownika%\%Autorun%Empty.pif
oraz do podfoldera Document Template:
%ProfilUżytkownika%Templates(losowy numer)-NendangBro.com
oraz do foldera "Moje obrazy" bieżącego użytkownika:
%MyPictures%Mypictures.exe
W tym samym folderze tworzona jest strona HTML about.Brontok.A.html:
W momencie otwierania tej strony przy użyciu przeglądarki internetowej na ekranie komputera pojawia się komunikat:
W stronie HTML umieszczona jest zawartość wiadomości e-mail wysyłanych pod wszystkie adresy e-mail znalezione przez robaka w zainfekowanym systemie.
Kopie robaka są rejestrowane w celu zapewnienia ich uruchamiania wraz z każdym startem zainfekowanego systemu Windows:
"Bron-Spizaetus"=""
"Bron-Spizaetus-(losowe symbole)"="%WinDir%ShellNewbm-(losowy numer).exe"
"Tok-Cirrhatus"=""
"Tok-Cirrhatus-(losowy numer)"="%ProfilUżytkownika%Local SettingsApplication Datar(losowy numer)on .exe"
"Shell"="Explorer.exe "%WinDir%sembako-(losowe symbole).exe""
"AlternateShell"="cmd-bro-(losowe symbole).exe"
Po dokonaniu instalacji robak tworzy w folderze systemowym plik o nazwie sistem.sys. Plik ten zawiera datę i czas zainstalowania robaka w następującym formacie: mmddggmm, gdzie mm: miesiąc, dd: data, gg: godziny, mm: minuty.
Robak pobiera adresy e-mail z książek adresowych systemu Windows oraz z plików posiadających następujące rozszerzenia:
ASP CFM CSV DOC EML HTM HTML PHP TXT WAB
Wszystkie pobrane adresy e-mail sÄ… zapisywane w folderze %AppData%Loc.Mail.Bron.Tok jako pliki z rozszerzeniami .ini. ZawierajÄ… one dodatkowy tekst:
Brontok.A By: HVM31 -- JowoBot #VM Community ?
Robak tworzy także folder Ok-SendMail-Bron-tok i zapisuje w nim adresy, pod które wysłał już zainfekowane wiadomości e-mail.
Podczas wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP.
Nazwa załącznika (wybierana z poniższych możliwości):
ccapps.exe jangan dibuka.exe kangen.exe my heart.exe myheart.exe syslove.exe untukmu.exe winword.exe
Treść wiadomości: treść zawarta jest w ukazanej powyżej stronie HTML.
Robak restartuje system zawsze po znalezieniu w nagłówku otwartego okna jednego z poniższych tekstów:
.. .@ @. .ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN ALERT ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL CRACK DARK DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALL FOO@ FUCK FUJITSU GATEWAY GOOGLE GRISOFT GROUP HACK HAURI HIDDEN HP. IBM. INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS LOTUS MACRO MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL NETSCAPE NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT PROXY RECIPIENT REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT HOST SEARCH R SECURE SECURITY SEKUR SENIOR SERVER SERVICE SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE SPAM SPERSKY SUN. SUPPORT SYBARI SYMANTEC SYSTEM CONFIGURATION TEST TREND TRUST UPDATE UTILITY VAKSIN VIRUS W3. WINDOWS SECURITY.VBS WWW XEROX XXX YOUR ZDNET ZEND ZOMBIE
Robak modyfikuje także zawartość pliku autoexec.bat znajdującego się w katalogu głównym dysku C:. Szkodnik dodaje do tego pliku polecenie "pause".