Worm.Brontok.Win32.1

Виды вредоносных программ:

Virus Trojan Backdoor Dropper Downloader Tool Adware Dialer Worm Exploit Rootkit

Worm.Brontok.Win32.1 – хробак, що ррозповсюджується за допомогою електронної пошти й знімних носіїв. розмір файлу 71359 байт, упакований MEW 11 1.2.

Методи розповсюдження

розповсюджується за допомогою масового розсилання електронної пошти, відправляючи свої копії у вигляді прикріпленого файлу до e-mail, на всі знайдені на комп'ютері поштові адреси. Також може розповсюджуватися за допомогою USB flash носіїв.

Впровадження в систему

Після запуску, хробак створює свої копії під наступним іменами:

% Appdata% \csrss.exe
%Appdata% \inetinfo.exe
%Appdata% \lsass.exe
%Appdata% \services.exe
%Appdata% \smss.exe
%Appdata% \winlogon.exe
%Userprofile%\ГОЛОВНЕ МЕНЮ\ПРОГРАМИ\АВТОЗАВАНТАЖЕННЯ\empty.pif
%Userprofile%\ШАБЛОНИ\brengkolang.com
%Windir% \eksplorasi.exe
%Windir% \shellnew\sempalong.exe
%Windir% \system32\<User name>'s setting.scr

Для автоматичного запуску хробак додає записи до реєстру:

[HKLM\Software\Microsoft\Windows\Currentversion\Run]
Bron-Spizaetus = %Windir%\Shellnew\sempalong.exe

[HKCU\Software\Microsoft\Windows\Currentversion\Run]
Tok-Cirrhatus = % Appdata% \smss.exe

[HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon]
Shell = % Windir% \eksplorasi.exe

Крім того, хробак створює нове завдання в планувальнику завдань, яке, щодня в 17.08 буде запускати файл %Userprofile%\ШАБЛОНИ\brengkolang.com.

Маскування в системі

Хробак знижує настроювання безпеки, змінюючи наступні ключі реєстру:

[HKCU\Software\Microsoft\Windows\Currentversion\Explorer\Advanced]
Hidden = dword:00000000 - Відключає відображення файлів і папок з атрибутом ‘Схований’
Hidefileext = dword:00000001 – Відключає відображення розширення для зареєстрованих типів файлів
Showsuperhidden = dword:00000000 - Відключає відображення системних файлів

Також хробак відключає можливість редагування реєстру й консолый ввід:

[HKCU\Software\Microsoft\Windows\Currentversion\Policies\System]
Disableregistrytools = dword:00000001
Disablecmd = dword:00000000

Файл хробака містить у собі іконку, що імітує стандартне зображення папки Windows, зважаючи на те, що хробак відключає відображення розширень для зареєстрованих типів - файли хробака виглядають як папки Windows, а не як файли, що виконуються. Ця методика використається для маскування тіла хробака на зараженому комп'ютері.

Хробак блокує запуск “Менеджера завдань” а також декількох інших програм моніторингу й антивірусного захисту.

Функціональні можливості

Хробак збирає адреси електронної пошти з різних файлів на локальному комп'ютері, після чого формує електронні листи по заданих шаблонах, прикріплює до листа своє тіло й розсилає по всіх знайдених на комп'ютеру E-Mail. Перед початком розсилання хробак перевіряє наявність Internet, звертаючись до сайтів www.google.com і www.yahoo.com.

Деструктивні особливості

Через масове розсилання пошти хробак генерує великий інтернет трафік, крім того він може блокувати доступ до деяких сайтів антивірусних компаній змінюючи файл hosts.