WORM_BRONTOK.AE
Kaspersky: Virus.Win32.VB.mp, Backdoor.Win32.IRCBot.pbr, Virus.Win32.VB.bg; Microsoft: Worm:Win32/Brontok.FFV; Norton: W32.SillyFDC
Windows 2000, Windows XP, Windows Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Ja
In the wild::
Ja
Überblick
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.
Technische Details
Übertragungsdetails
Wird durch das Anschließen infizierter Wechsellaufwerke auf ein System übertragen.
Installation
Schleust die folgenden Dateien ein:
- %System Root%\msvbvm60.dll
- %System%\dllchache\msvbvm60.dll
- %System%\dllcache\msvbvm60.dll
- %System Root%\(Read Me)Pendekar Blank.txt
(Hinweis: %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Schleust die folgenden Eigenkopien in das betroffene System ein:
- %System%\dllchache\Zero.txt
- %System%\dllchache.exe
- %System%\dllchache\Unoccupied.reg
- %System%\dllcache\Shell32.com
- %System%\rund1132.exe
- %System%\M5VBVM60.EXE
- %System%\dllcache\Regedit32.com
- %WINDOWS%\system32.exe
- %System Root%\AUT0EXEC.BAT
- %System%\dllchache\Hole.zip
- %System%\dllchache\Empty.jpg
- %System%\dllchache\Blank.doc
Erstellt die folgenden Ordner:
- %System32%\dllchache
Autostart-Technik
Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Secure64 = "%System%\dllcache\Regedit32.com StartUp"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Secure32 = "%System%\dllcache\Shell32.com StartUp"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Blank AntiViri = "%System Root%\AUT0EXEC.BAT StartUp"
Andere Systemänderungen
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_CLASSES_ROOT\comfile\shell\
open\command
@ = "%System%\rund1132.exe %1"
(Note: The default value data of the said registry entry is "%1" %*.)
HKEY_CLASSES_ROOT\txtfile\shell\
open\command
@ = "%System%\rund1132.exe %1"
(Note: The default value data of the said registry entry is %SystemRoot%\system32\NOTEPAD.EXE %1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
CabinetState
FullPath = "1"
(Note: The default value data of the said registry entry is 0.)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
comfile\shell\open\
command
@ = "%System%\rund1132.exe %1"
(Note: The default value data of the said registry entry is "%1" %*.)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
txtfile\shell\open\
command
@ = "%System%\rund1132.exe %1"
(Note: The default value data of the said registry entry is %SystemRoot%\system32\NOTEPAD.EXE %1 .)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe, "%system%\M5VBVM60.EXE StartUp""
(Note: The default value data of the said registry entry is %System%\userinit.exe,.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot
AlternateShell = "%System Root%\AUT0EXEC.BAT StartUp"
(Note: The default value data of the said registry entry is cmd.exe.)
Verbreitung
Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.
Einschleusungsroutine
Setzt die Attribute der eingeschleusten Dateien wie folgt:
- Read Only
- Hidden
- System