Analyse von: John Rainier Navato   
 

Worm:Win32/Brontok@mm (MICROSOFT)

 Plattform:

Windows

 Risikobewertung (gesamt):
 Schadenspotenzial::
 Verteilungspotenzial::
 reportedInfection:
 Trend Micro Lösungen:
Niedrig
Mittel
Hoch
Kritisch

  • Malware-Typ:
    Worm

  • Zerstrerisch?:
    Nein

  • Verschlsselt?:
     

  • In the wild::
    Ja

  Überblick

Infektionsweg: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Technische Details

Dateigröße: 43,403 bytes
Speicherresiden: Ja
Erste Muster erhalten am: 05 Februar 2025
Schadteil: Connects to URLs/IPs, Drops files, Modifies system registry

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %AppDataLocal%\csrss.exe
  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\smss.exe
  • %AppDataLocal%\winlogon.exe

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
  • %Application data%\Microsoft\Windows\Templates\Brengkolang.com
  • %System%\drivers\etc\hosts-Denied By-Administrator.com
  • %Windows%\KesenjanganSosial.exe
  • %Windows%\ShellNew\RakyatKelaparan.exe
  • %Windows%\SysWOW64\Administrator's Setting.scr
  • %Windows%\SysWOW64\cmd-brontok.exe

Fügt die folgenden Prozesse hinzu:

  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\winlogon.exe
  • %AppDataLocal%\smss.exe
  • %Windows%\SysWOW64\at.exe at 17:08 /every:M,T,W,Th,F,S,Su "%Application data%\Microsoft\Windows\Templates\Brengkolang.com"

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus =

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus-3444 = %AppDataLocal%\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
Bron-Spizaetus = %Windows%\ShellNew\RakyatKelaparan.exe

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Shell = Explorer.exe "%Windows%\KesenjanganSosial.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = cmd-brontok.exe

Aktiviert die automatische Ausführung bei jedem Systemstart durch Einschleusen der folgenden Eigenkopien in den Windows Autostart-Ordner.

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
NoFolderOptions = 1

Andere Details

It connects to the following possibly malicious URL:

  • http://www.{BLOCKED}ies.com/sbllma5/Host15.txt
  • http://www.{BLOCKED}ies.com/sbllma5/IN15VLMLWHOX.txt
  • http://www.{BLOCKED}o.com

Es macht Folgendes:

  • It uses the at command to add a scheduled task that executes the copies it drops.
  • The scheduled task executes the malware every 5:08 PM every day