Analysé par: John Rainier Navato   
 

Worm:Win32/Brontok@mm (MICROSOFT)

 Plate-forme:

Windows

 Overall Risk:
 Dommages potentiels: :
 Distribution potentielle: :
 reportedInfection:
 Information Exposure Rating::
Faible
Medium
Élevé
Critique

  • Type de grayware:
    Worm

  • Destructif:
    Non

  • Chiffrement:
     

  • In the wild::
    Oui

  Overview

Voie d'infection: Aus dem Internet heruntergeladen, Fallen gelassen von anderer Malware

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

  Détails techniques

File size: 43,403 bytes
Memory resident: Oui
Date de réception des premiers échantillons: 05 février 2025
Charge malveillante: Connects to URLs/IPs, Drops files, Modifies system registry

Übertragungsdetails

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Installation

Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:

  • %AppDataLocal%\csrss.exe
  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\smss.exe
  • %AppDataLocal%\winlogon.exe

Schleust die folgenden Eigenkopien in das betroffene System ein:

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
  • %Application data%\Microsoft\Windows\Templates\Brengkolang.com
  • %System%\drivers\etc\hosts-Denied By-Administrator.com
  • %Windows%\KesenjanganSosial.exe
  • %Windows%\ShellNew\RakyatKelaparan.exe
  • %Windows%\SysWOW64\Administrator's Setting.scr
  • %Windows%\SysWOW64\cmd-brontok.exe

Fügt die folgenden Prozesse hinzu:

  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\winlogon.exe
  • %AppDataLocal%\smss.exe
  • %Windows%\SysWOW64\at.exe at 17:08 /every:M,T,W,Th,F,S,Su "%Application data%\Microsoft\Windows\Templates\Brengkolang.com"

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus =

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus-3444 = %AppDataLocal%\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
Bron-Spizaetus = %Windows%\ShellNew\RakyatKelaparan.exe

Ändert die folgenden Registrierungseinträge, um bei jedem Systemstart automatisch ausgeführt zu werden:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Shell = Explorer.exe "%Windows%\KesenjanganSosial.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = cmd-brontok.exe

Aktiviert die automatische Ausführung bei jedem Systemstart durch Einschleusen der folgenden Eigenkopien in den Windows Autostart-Ordner.

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif

Andere Systemänderungen

Ändert die folgenden Registrierungseinträge:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
NoFolderOptions = 1

Andere Details

It connects to the following possibly malicious URL:

  • http://www.{BLOCKED}ies.com/sbllma5/Host15.txt
  • http://www.{BLOCKED}ies.com/sbllma5/IN15VLMLWHOX.txt
  • http://www.{BLOCKED}o.com

Es macht Folgendes:

  • It uses the at command to add a scheduled task that executes the copies it drops.
  • The scheduled task executes the malware every 5:08 PM every day