解析者: Jaime Benigno Reyes   
 別名:

Worm:Win32/Brontok.L@mm (Microsoft); Email-Worm.Win32.Brontok.q (Kaspersky); W32.Rontokbro@mm (Symantec)

 プラットフォーム:

Windows

 危険度:
 ダメージ度:
 感染力:
 感染確認数:
 情報漏えい:

  • マルウェアタイプ:
    ワーム

  • 破壊活動の有無:
    なし

  • 暗号化:
     

  • 感染報告の有無 :
    はい

  概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。 ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

  詳細

ファイルサイズ 49,152 bytes
タイプ EXE
メモリ常駐 はい
発見日 2009年4月7日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

  • %AppDataLocal%\csrss.exe
  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\smss.exe
  • %AppDataLocal%\winlogon.exe
  • %Application Data%\Microsoft\Windows\Templates\WowTumpeh.com (Windows Vista and higher versions)
  • %User Profile%\Templates\WowTumpeh.com (Versions lower than Windows Vista)
  • %Windows%\eksplorasi.exe
  • %Windows%\ShellNew\bronstab.exe
  • %System%\{user name}-{host name}'s Setting.scr

ワームは、 Windows のタスクスケジューラを使い、「スケジュールされたタスク」を追加します。これにより、作成された自身のコピーが実行されます。

ワームは、以下のフォルダを作成します。

  • %AppDataLocal%\Bron.tok-{mm}-{dd}

(註:%AppDataLocal%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Documents and Settings\<ユーザ名>\Local Settings\Application Data"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Local" です。)

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus = "%AppDataLocal%\smss.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\ShellNew\bronstab.exe"

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を変更します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "%Windows%\eksplorasi.exe""

(註:変更前の上記レジストリ値は、「"Explorer.exe"」となります。)

ワームは、<Common Startup>フォルダ内に以下のように自身のコピーを作成します。これにより、Windows起動時に自身のコピーの自動実行が可能となります。

  • %Start Menu%\Programs\Startup\Empty.pif

(註:%Start Menu%フォルダは、Windows 2000、XP および Server 2003 の場合、通常、"C:\Windows\Start Menu" または "C:\Documents and Settings\<ユーザ名>\Start Menu"、Windows Vista および 7 の場合、"C:\Users\<ユーザ名>\AppData\Roaming\Microsoft\Windows\Start Menu" です。)

他のシステム変更

ワームは、以下のファイルを改変します。

  • %System Root%\AUTOEXEC.bat

(註:%System Root%フォルダは、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

ワームは、以下のレジストリ値を変更します。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(註:変更前の上記レジストリ値は、「"0"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註:変更前の上記レジストリ値は、「"1"」となります。)

感染活動

ワームは、すべてのリムーバブルドライブ内に以下として自身のコピーを作成します。

  • {removable drive letter}:\Data {user name}-{host name}.exe

その他

ワームは、以下の不正なWebサイトにアクセスします。

  • http://www.{BLOCKED}ies.com/lrostabro2/Bron-ID10.txt
  • http://www.{BLOCKED}ies.com/lrostabro2/BrontokInf10.txt
  • http://www.{BLOCKED}ies.com/lrostabro2/Host10.txt
  • http://www.{BLOCKED}ies.com/sjistabro1/BrontokInf10.txt
  • http://www.{BLOCKED}ies.com/sjistabro1/Host10.txt