Analisado por: John Rainier Navato   
 

Worm:Win32/Brontok@mm (MICROSOFT)

 Plataforma:

Windows

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
 Exposição das informações:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral

Canal de infecção: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Detalhes técnicos

Tipo de compactação: 43,403 bytes
Residente na memória: Sim
Data de recebimento das amostras iniciais: 05 fevereiro 2025
Carga útil: Connects to URLs/IPs, Drops files, Modifies system registry

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %AppDataLocal%\csrss.exe
  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\smss.exe
  • %AppDataLocal%\winlogon.exe

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
  • %Application data%\Microsoft\Windows\Templates\Brengkolang.com
  • %System%\drivers\etc\hosts-Denied By-Administrator.com
  • %Windows%\KesenjanganSosial.exe
  • %Windows%\ShellNew\RakyatKelaparan.exe
  • %Windows%\SysWOW64\Administrator's Setting.scr
  • %Windows%\SysWOW64\cmd-brontok.exe

Fügt die folgenden Prozesse hinzu:

  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\winlogon.exe
  • %AppDataLocal%\smss.exe
  • %Windows%\SysWOW64\at.exe at 17:08 /every:M,T,W,Th,F,S,Su "%Application data%\Microsoft\Windows\Templates\Brengkolang.com"

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus =

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus-3444 = %AppDataLocal%\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
Bron-Spizaetus = %Windows%\ShellNew\RakyatKelaparan.exe

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Shell = Explorer.exe "%Windows%\KesenjanganSosial.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = cmd-brontok.exe

Aktiviert die automatische Ausführung bei jedem Systemstart durch Einschleusen der folgenden Eigenkopien in den Windows Autostart-Ordner.

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
NoFolderOptions = 1

Andere Details

It connects to the following possibly malicious URL:

  • http://www.{BLOCKED}ies.com/sbllma5/Host15.txt
  • http://www.{BLOCKED}ies.com/sbllma5/IN15VLMLWHOX.txt
  • http://www.{BLOCKED}o.com

Es macht Folgendes:

  • It uses the at command to add a scheduled task that executes the copies it drops.
  • The scheduled task executes the malware every 5:08 PM every day