WORM_RONTKBR.B
Worm:Win32/Brontok.L@mm (Microsoft); Email-Worm.Win32.Brontok.q (Kaspersky); W32.Rontokbro@mm (Symantec)
Windows
![](/vinfo/imgFiles/JPlegend.jpg)
マルウェアタイプ:
ワーム
破壊活動の有無:
なし
暗号化:
感染報告の有無 :
はい
概要
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。
詳細
侵入方法
ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。
ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。
インストール
ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。
- %AppDataLocal%\csrss.exe
- %AppDataLocal%\inetinfo.exe
- %AppDataLocal%\lsass.exe
- %AppDataLocal%\services.exe
- %AppDataLocal%\smss.exe
- %AppDataLocal%\winlogon.exe
- %Application Data%\Microsoft\Windows\Templates\WowTumpeh.com (Windows Vista and higher versions)
- %User Profile%\Templates\WowTumpeh.com (Versions lower than Windows Vista)
- %Windows%\eksplorasi.exe
- %Windows%\ShellNew\bronstab.exe
- %System%\{user name}-{host name}'s Setting.scr
ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。
ワームは、以下のフォルダを作成します。
- %AppDataLocal%\Bron.tok-{mm}-{dd}
(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)
自動実行方法
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus = "%AppDataLocal%\smss.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\ShellNew\bronstab.exe"
ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%Windows%\eksplorasi.exe""
(註:変更前の上記レジストリ値は、「"Explorer.exe"」となります。)
ワームは、<Common Startup>フォルダ内に以下のように自身のコピーを作成します。これにより、Windows起動時に自身のコピーの自動実行が可能となります。
- %Start Menu%\Programs\Startup\Empty.pif
(註:%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)
他のシステム変更
ワームは、以下のファイルを改変します。
- %System Root%\AUTOEXEC.bat
(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)
ワームは、以下のレジストリ値を追加します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"
ワームは、以下のレジストリ値を変更します。
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"
(註:変更前の上記レジストリ値は、「"0"」となります。)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(註:変更前の上記レジストリ値は、「"1"」となります。)
感染活動
ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。
- {removable drive letter}:\Data {user name}-{host name}.exe
その他
ワームは、以下の不正なWebサイトにアクセスします。
- http://www.{BLOCKED}ies.com/lrostabro2/Bron-ID10.txt
- http://www.{BLOCKED}ies.com/lrostabro2/BrontokInf10.txt
- http://www.{BLOCKED}ies.com/lrostabro2/Host10.txt
- http://www.{BLOCKED}ies.com/sjistabro1/BrontokInf10.txt
- http://www.{BLOCKED}ies.com/sjistabro1/Host10.txt