Worm.Brontok.Win32.1

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Worm.Brontok.Win32.1 – червь, распространяющийся при помощи электронной почты и съемных носителей. размер файла 71359 байт, упакован MEW 11 1.2.

Методы распространения

распространяется при помощи массовой рассылки электронной почты, отправляя свои копии, в виде прикреплённого файла к e-mail, на все найденные на компьютере почтовые адреса. Также может распространяться посредством USB flash носителей.

Внедрение в систему

После запуска, червь создаёт свои копии под следующим именами:

%AppData% \csrss.exe
%AppData% \inetinfo.exe
%AppData% \lsass.exe
%AppData% \services.exe
%AppData% \smss.exe
%AppData% \winlogon.exe
%UserProfile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\empty.pif
%UserProfile%\ШАБЛОНЫ\brengkolang.com
%WinDir% \eksplorasi.exe
%WinDir% \shellnew\sempalong.exe
%WinDir% \system32\<User name>'s setting.scr

Для автоматического запуска червь добавляет записи в реестр:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Bron-Spizaetus = %WinDir%\ShellNew\sempalong.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Tok-Cirrhatus = % AppData% \smss.exe

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = % WinDir% \eksplorasi.exe

Кроме того, червь создает новое задание в планировщике задач , которое, каждый день в 17.08 будет запускать файл %UserProfile%\ШАБЛОНЫ\brengkolang.com.

Маскировка в системе

Червь понижает настройки безопасности, изменяя следующие ключи реестра:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Hidden = dword:00000000 - Отключает отображение файлов и папок с атрибутом ‘Скрытый’
HideFileExt = dword:00000001 – Отключает отображение расширения для зарегистрированных типов файлов
ShowSuperHidden = dword:00000000 - Отключает отображение системных файлов

Также червь отключает возможность редактирования реестра и консольный ввод:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = dword:00000001
DisableCMD = dword:00000000

Файл червя содержит в себе иконку, имитирующую стандартное изображение папки Windows, учитывая то, что червь отключает отображение расширений для зарегистрированных типов - файлы червя выглядят как папки Windows, а не как исполняемые файлы. Эта методика используется для маскировки тела червя на зараженном компьютере.

Червь блокирует запуск “Менеджера задач” а также нескольких других программ мониторинга и антивирусной защиты.

Функциональные возможности

Червь собирает адреса электронной почты из различных файлов на локальном компьютере , после чего формирует электронные письма по заданным шаблонам , прикрепляет к письму свое тело и рассылает по всем найденным на компьютере E-Mail. Перед началом рассылки червь проверяет наличие Internet, обращаясь к сайтам www.google.com и www.yahoo.com.

Деструктивные особенности

Из-за массовой рассылки почты червь генерирует большой интернет трафик, кроме того он может блокировать доступ к некоторым сайтам антивирусных компаний изменяя файл hosts.