WORM_BRONTOK.JO

2012年10月9日

解析者: Rhena Inocencio

プラットフォーム:

Windows 2000, Windows XP, Windows Server 2003

危険度:

ダメージ度:

感染力:

感染確認数:

マルウェアタイプ: ワーム
破壊活動の有無: なし
暗号化:
感染報告の有無: はい

概要

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

ワームは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

ワームは、ファイルを改変します。これにより、該当プログラムおよびアプリケーションが正しく実行されなくなります。

ワームは、リムーバブルドライブ内に自身のコピーを作成します。作成されたコピーのファイル名として、上記のドライブ上に存在するフォルダ名を使用します。

詳細

ファイルサイズ 44,453 bytes

タイプ EXE

発見日 2010年8月6日

侵入方法

ワームは、感染リムーバブルドライブを接続することにより、コンピュータに侵入します。

ワームは、他のマルウェアに作成されるか、悪意あるWebサイトからユーザが誤ってダウンロードすることによりコンピュータに侵入します。

インストール

ワームは、以下のファイルを作成します。

%Application Data%\LISTHOST16.TXT
%Application Data%\UPDATE.16.BRON.TOK.BIN

(註：%Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。)

ワームは、感染したコンピュータ内に以下のように自身のコピーを作成します。

%Windows%\SHELLNEW\RAKYATKELAPARAN.EXE
%System%\CMD-BRONTOK.EXE
%Windows%\KESENJANGANSOSIAL.EXE
%Application Data%\br3621on.exe
%Application Data%\services.exe
%Application Data%\smss.exe
%Application Data%\lsass.exe
%Application Data%\inetinfo.exe
%Application Data%\csrss.exe
%Application Data%\winlogon.exe
%Start Menu%\Programs\Startup\Empty.pif
%User Profile%\TEMPLATES\5424-NENDANGBRO.COM
%System%\{USER NAME}'S SETTING.SCR
%System%\drivers\etc\HOSTS-DENIED BY-{USER NAME}.COM

(註：%Windows%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows9x、Me、XP、Server 2003の場合、"C:\Window"、WindowsNT および 2000の場合、"C:\WINNT" です。. %System%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\System"、Windows NT および 2000 の場合、"C:\WinNT\System32"、Windows XP および Server 2003 の場合、"C:\Windows\System32" です。. %Application Data%フォルダは、 Windows 2000、XP、Server 2003 の場合 "C:\Documents and Settings\＜ユーザ名＞\Local Settings\Application Data" 、 Windows NTの場合 "C:\WINNT\Profiles\＜ユーザ名＞\Application Data"、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Application Data" です。. %Start Menu%フォルダは、通常、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞\Start Menu" 、Windows NTの場合、"C:\WINNT\Profiles\＜ユーザ名＞\Start Menu "、Windows 2000、XP、Server 2003の場合、"C:\Windows\Start Menu" および "C:\Documents and Settings\＜ユーザ名＞\Start Menu " です。. %User Profile% フォルダは、Windows 98 および MEの場合、"C:\Windows\Profiles\＜ユーザ名＞"、Windows NTでは、"C:\WINNT\Profiles\＜ユーザ名＞"、Windows 2000, XP, Server 2003の場合は、"C:\Documents and Settings\＜ユーザ名＞" です。)

ワームは、Windowsのタスクスケジューラを用いて、「スケジュールされたタスク」を作成します。これにより、作成されたコピーが実行されます。

自動実行方法

ワームは、自身のコピーがWindows起動時に自動実行されるよう以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
WIndows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\SHELLNEW\RAKYATKELAPARAN.EXE"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus-1299 = "%Application Data%\br3621on.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "%Windows%\KESENJANGANSOSIAL.EXE"

他のシステム変更

ワームは、以下のファイルを改変します。

%System Root%\AUTOEXEC.BAT

(註：%System Root%は、標準設定では "C:" です。また、オペレーティングシステムが存在する場所です。)

ワームは、以下のレジストリ値を追加します。

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\Explorer
ITBarLayout = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\ShellNoRoam\Bags\
61\Shell
FolderType = "MyDocuments"

ワームは、以下のレジストリ値を変更し、隠しファイル属性のファイルを非表示にします。

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(註：変更前の上記レジストリ値は、「"0"」となります。)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(註：変更前の上記レジストリ値は、「"1"」となります。)

感染活動

その他

ワームは、以下の不正なWebサイトにアクセスします。

http://www.geocities.com/{BLOCKED}bok/IN16VLMLOLPD.css
http://www.geocities.com/{BLOCKED}bok/Host16.css