Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire


Environnement du Malware
Descriptions du Malware
Qui se cache derrière le Malware
Historique du Malware
Tendances du Malware
Si votre ordinateur est infecté

 
Recherche Description Malware

 

  Home / Virus / Encyclopédie Virus / Descriptions du Malware / Vers de réseau / Vers de Messagerie

Email-Worm.Win32.Brontok.q

Aliases
Email-Worm.Win32.Brontok.q (Kaspersky Lab) is also known as: W32/Rontokbro.gen@MM (NAI),   W32.Rontokbro@mm (NAV),   BackDoor.Generic.1138 (DrWeb),   W32/Korbo-B (Sophos),   WORM_RONTOKBRO.F (PCCIL),   WORM/Brontok.C (H+BEDV),   W32/Brontok.C@mm (FPROT),   Win32:Rontokbr-B (AVAST),   I-Worm/VB.FY (AVG),   Win32.Brontok.C@MM (BitDef7),   Worm.Brontok.E (Clamav),   Win32/Brontok.F (Nod32)
Detection added 15 May 2006 16:08 GMT
Update released 15 May 2006 17:24 GMT
Description added 23 May 2007
Comportement Email-Worm, ver de messagerie

Détails Techniques

Ce ver se propage sur Internet sous forme de pièces jointes à des messages infectés. Il s’envoie à des adresses email collectées sur la machine victime.

Le ver est un fichier PE EXE Windows écrit en Visual Basic. La taille de ce fichier infecté peut être est très variable. La fonctionnalité décrite ci-dessous est caractéristique des variantes les plus connues de ce ver.

Installation

Lorsque le fichier infecté est exécuté, l’utilisateur voit apparaître une fenêtre Windows Explorer avec le dossier «Mes Images» (My Pictures) ouvert.

Lors de son installation, le ver modifie les clés suivantes de la base de registre désactivant les outils du registre de système et la ligne de commande, et affiche des fichiers et dossiers dans Windows Explorer.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
 "DisableRegistryTools"="1"
 "DisableCMD"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
 "Hidden"="0"
 "HideFileExt"="1"
 "ShowSuperHidden"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
 "NoFolderOptions"="1"

Le message suivant par exemple s’affiche lorsque l'éditeur de base de registre est exécuté :

Le ver se fraye alors un chemin vers les données de l’application (Application Data) de l’utilisateur (%UserProfile%\Local Settings\Application Data) et copie son corps dans ce répertoire sous les noms suivants :

%UserProfile%\Local Settings\Application Data\br<random number>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe

Un fichier texte du nom de Kosong.Bron.Tok.txt (51 octets) est créé dans ce répertoire. Le contenu du fichier se présente comme suit :

Brontok.A
By: HVM31
-- JowoBot #VM Community --

Le ver copie son corps :

  • dans le répertoire racine de Windows (%WinDir%) sous le nom suivant :
    %WinDir%\sembako-<random symbols>.exe
  • dans le sous-répertoire ShellNew sous un nom généré comme suit : bbm-<symboles aléatoires>.exe:
    %WinDir%\ShellNew\bbm-<symboles aléatoires>.exe
  • et dans le répertoire système Windows sous les noms suivants :
%System%\DXBLBO.exe
%System%\cmd-bro-<random symbols>.exe
%System%\%UserName%'s Setting.scr

Le ver se copie :

  • dans le répertoire Menu de Démarrage Automatique sous le nom d’Empty.pif :
    %UserProfile%\%Autorun%\Empty.pif
  • et dans le sous-répertoire Modèle de Document (Document Template) :
    %UserProfile%\Templates\<nombre aléatoire>-NendangBro.com
  • ainsi que dans le répertoire “Mes Images” (My Pictures) de l’utilisateur :
    %MyPictures%\Mypictures.exe

    Une page HTML du nom de about.Brontok.A.html est créée dans ce répertoire :

    Lorsque cette page est consultée à l’aide du navigateur, le message suivant s'affiche :

    Cette page contient le texte du message email que le ver envoie aux adresses collectées sur la machine victime.

    Les copies du ver seront ensuite enregistrées dans la base de registre afin qu’elles soient exécutées automatiquement :

    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
     "Bron-Spizaetus"=""
     "Bron-Spizaetus-<random symbols>"="%WinDir%\ShellNew\bbm-<random symbols>.exe"

    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
     "Tok-Cirrhatus"=""
     "Tok-Cirrhatus-<nombre aléatoire>"="%UserProfile%\Local Settings\Application Data\br<nombre aléatoire>on .exe"

    [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
     "Shell"="Explorer.exe "%WinDir%\sembako-<symboles aléatoires>.exe""

    [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
     "AlternateShell"="cmd-bro-<symboles aléatoires>.exe"

    Une fois installé, le ver crée un fichier du nom de sistem.sys dans le répertoire système de Windows. Ce fichier contient la date et l'heure à laquelle le ver a été installé dans la machine victime au format suivant : mmddhhmm (mm indique le mois, dd la date, hh l’heure et mm les minutes). .

    Propagation via email

    Le ver collecte les adresses depuis les répertoires d’adresses de MS Windows et depuis les fichiers aux extensions suivantes :

    ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

    Toutes les adresses trouvées sont sauvegardées dans %AppData%\Loc.Mail.Bron.Tok sous forme de fichiers dont les noms sont des adresses emails, une extension .ini et le texte suivant :

    Brontok.A
    By: HVM31
    -- JowoBot #VM Community –

    Un répertoire du nom de Ok-SendMail-Bron-tok est créé et les adresses auxquelles le message est envoyé, sont sauvegardées dans ce fichier.

    Le ver utilise son propre moteur SMTP pour diffuser les messages infectés.

    Messages infectés

    Nom du document attaché (aléatoire parmi la liste suivante) :

    • ccapps.exe
    • jangan dibuka.exe
    • kangen.exe
    • my heart.exe
    • myheart.exe
    • syslove.exe
    • untukmu.exe
    • winword.exe

    Texte du message :

    La page HTML ci –dessus se conduit comme le texte des messages infectés.

    Action destructrice

    Le ver vérifie l’en-tête de la fenêtre ouverte et si l'une des chaînes de mots suivantes se trouve dans l'en-tête, il redémarre le système :

    ..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

    Le ver modifie le contenu d’autoexec.bat dans le répertoire racine C: y ajoutant « pause ».

    		•  

    Copyright © 1996 - 2010
    Kaspersky Lab
    Industry-leading Antivirus Software
    All rights reserved
     

    Email: webmaster@viruslist.com