Email-Worm.Win32.Brontok.q

Jest to robak rozprzestrzeniający się przez Internet jako załącznik zainfekowanych wiadomości e-mail. Powstał przy użyciu języka programowania Visual Basic i ma postać pliku PE EXE o rozmiarze zależnym od wersji. Opisana poniżej funkcjonalność odpowiada większości wariantów robaka.

Instalacja

Podczas pierwszego uruchamiania zainfekowanego pliku na ekranie komputera wyświetlane jest okno Eksploratora Windows z otwartym folderem "Moje obrazy".

Podczas instalacji robak modyfikuje poniższe klucze rejestru systemowego w celu wyłączenia systemowych narzędzi pozwalających na przeglądanie i modyfikowanie rejestru, wiersza poleceń oraz wyświetlenia plików i folderów w Eksploratorze Windows.

  • [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
    "DisableRegistryTools"="1"
    "DisableCMD"="0"
  • [HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
    "Hidden"="0"
    "HideFileExt"="1"
    "ShowSuperHidden"="0"
  • [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
    "NoFolderOptions"="1"

Podczas próby uruchomienia edytora rejestru na zainfekowanym komputerze na ekranie może pojawić się poniższy komunikat:

Następnie robak pobiera ścieżkę dostępu do danych aplikacji bieżącego użytkownika (%ProfilUżytkownika%Local SettingsApplication Data) i kopiuje swój kod z następującymi nazwami:

%ProfilUżytkownika%Local SettingsApplication Datar(losowa liczba)on.exe
%ProfilUżytkownika%Local SettingsApplication Datacsrss.exe
%ProfilUżytkownika%Local SettingsApplication Datainetinfo.exe
%ProfilUżytkownika%Local SettingsApplication Datalsass.exe
%ProfilUżytkownika%Local SettingsApplication Dataservices.exe
%ProfilUżytkownika%Local SettingsApplication Datasmss.exe
%ProfilUżytkownika%Local SettingsApplication Datasvchost.exe
%ProfilUżytkownika%Local SettingsApplication Datawinlogon.exe

W tym samym folderze tworzony jest także plik tekstowy Kosong.Bron.Tok.txt (51 bajtów). Zawiera on poniższy tekst:

Brontok.A
By: HVM31
-- JowoBot #VM Community --

Robak umieszcza także swoje kopie w folderze systemu Windows (%WinDir%) z poniższą nazwą:

%WinDir%sembako-(losowe symbole).exe

oraz w podfolderze ShellNew z nazwÄ…:

%WinDir%ShellNewbm-(losowe symbole).exe

oraz w folderze systemowym z następującymi nazwami:

%System%DXBLBO.exe
%System%cmd-bro-(losowe symbole).exe
%System%\%UserName%'s Setting.scr

Szkodnik kopiuje się także do foldera Autostart menu Start z nazwą:

%ProfilUżytkownika%\%Autorun%Empty.pif

oraz do podfoldera Document Template:

%ProfilUżytkownika%Templates(losowy numer)-NendangBro.com

oraz do foldera "Moje obrazy" bieżącego użytkownika:

%MyPictures%Mypictures.exe

W tym samym folderze tworzona jest strona HTML about.Brontok.A.html:

W momencie otwierania tej strony przy użyciu przeglądarki internetowej na ekranie komputera pojawia się komunikat:

W stronie HTML umieszczona jest zawartość wiadomości e-mail wysyłanych pod wszystkie adresy e-mail znalezione przez robaka w zainfekowanym systemie.

Kopie robaka są rejestrowane w celu zapewnienia ich uruchamiania wraz z każdym startem zainfekowanego systemu Windows:

  • [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
    "Bron-Spizaetus"=""
    "Bron-Spizaetus-(losowe symbole)"="%WinDir%ShellNewbm-(losowy numer).exe"
  • [HKCUSoftwareMicrosoftWindowsCurrentVersionRun]
    "Tok-Cirrhatus"=""
    "Tok-Cirrhatus-(losowy numer)"="%ProfilUżytkownika%Local SettingsApplication Datar(losowy numer)on .exe"
  • [HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon]
    "Shell"="Explorer.exe "%WinDir%sembako-(losowe symbole).exe""
  • [HKLMSYSTEMCurrentControlSetControlSafeBoot]
    "AlternateShell"="cmd-bro-(losowe symbole).exe"

Po dokonaniu instalacji robak tworzy w folderze systemowym plik o nazwie sistem.sys. Plik ten zawiera datę i czas zainstalowania robaka w następującym formacie: mmddggmm, gdzie mm: miesiąc, dd: data, gg: godziny, mm: minuty.

Rozprzestrzenianie: poczta elektroniczna

Robak pobiera adresy e-mail z książek adresowych systemu Windows oraz z plików posiadających następujące rozszerzenia:

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

Wszystkie pobrane adresy e-mail sÄ… zapisywane w folderze %AppData%Loc.Mail.Bron.Tok jako pliki z rozszerzeniami .ini. ZawierajÄ… one dodatkowy tekst:

Brontok.A
By: HVM31
-- JowoBot #VM Community ?

Robak tworzy także folder Ok-SendMail-Bron-tok i zapisuje w nim adresy, pod które wysłał już zainfekowane wiadomości e-mail.

Podczas wysyłania zainfekowanych wiadomości e-mail szkodnik wykorzystuje własny silnik SMTP.

Charakterystyka zainfekowanych wiadomości e-mail

Nazwa załącznika (wybierana z poniższych możliwości):

ccapps.exe
jangan dibuka.exe
kangen.exe
my heart.exe
myheart.exe
syslove.exe
untukmu.exe
winword.exe

Treść wiadomości: treść zawarta jest w ukazanej powyżej stronie HTML.

Funkcje robaka

Robak restartuje system zawsze po znalezieniu w nagłówku otwartego okna jednego z poniższych tekstów:

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

Robak modyfikuje także zawartość pliku autoexec.bat znajdujÄ…cego siÄ™ w katalogu głównym dysku C:. Szkodnik dodaje do tego pliku polecenie "pause". W32/Rontokbro.gen@MM (McAfee),   W32.Rontokbro@mm (Symantec),   BackDoor.Generic.1138 (Doctor Web),   W32/Korbo-B (Sophos),   WORM_RONTOKBRO.F (Trend Micro),   WORM/Brontok.C (H+BEDV),   W32/Brontok.C@mm (FRISK),   Win32:Rontokbr-B (ALWIL),   I-Worm/VB.FY (Grisoft),   Win32.Brontok.C@MM (SOFTWIN),   Worm.Brontok.E (ClamAV),   Win32/Brontok.F (Eset)