Virus library
Knowledge database

Win32.HLLM.Generic.440

(I-Worm/VB.HY, TR/Crypt.CFI.Gen, W32/Rontokbro.gen@MM, Email-Worm.Win32.Brontok.q, I-Worm/VB.HW, Worm:Win32/Brontok@mm, Generic.Brontok.AD6297BF, WORM_BRONTOK.A, Worm/Korbo.A, Win32.Worm.Brontok.AL, I-Worm/Brontok.C, Email-Worm.Win32.Brontok.c, Worm/Brontok.C, PE_STAYT.A, Trojan.Agent.AIAC, Win32/Brontok.BU@mm, Win32.Brontok.F@mm, Generic.Brontok.9139BF2C, Mal_MUWOW-1, Worm/Brontok.s.2, WORM_RONTKBR.GEN, Generic.Brontok.3017A0AD)

Added to Dr.Web virus database:2007-10-23 20:03:53
Тип вируса: Сетевой червь

Размер: 43 403 байт

Уязвимые ОС: Win95/98/NT/2k/XP/2k3

Упакован: -

Техническая информация

  • Написан на Microsoft Visual Basic 6.0.

  • При своём запуске открывает в Проводнике Windows каталог Мои Документы.

  • Создаёт копию в C:\WINDOWS\INF\norBtok.exe, которую регистрирует в секции автозапуска системного реестра:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    Bron-Spizaetus = C:\WINDOWS\INF\norBtok.exe
    А также
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
    Tok-Cirrhatus = %USERPROFILE%\Local Settings\Application Data\smss.exe

  • Создаёт файлы в следующих каталогах:
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\smss.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\services.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\lsass.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    C:\Documents and Settings\%USERPROFILE%\Templates\A.kotnorB.com
    C:\WINDOWS\system32\3D Animation.scr

  • Создаёт свою копию в меню "Пуск"с именем Empty.pif:
    C:\Documents and Settings\%USERPROFILE%\Start Menu\Programs\Startup\Empty.pif

  • Модифицирует файл Autoexec.bat, внося в него строку pause

  • Блокриует запуск утилит работы с реестром Regedit и Regedt32, модифицируя значение ключа
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools, подключение командной строки:
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD
    а также установку режима отображения файлов и папок в проводнике:
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

  • Создаёт текстовый файл с следующим содержанием:

    "Brontok.A
    By: HVM31
    -- JowoBot #VM Community --"

  • Помимо этого помещает свои копии во все катологи, причём имя файла при этом совпадает с именем целевого каталога. Если в каталоге уже существовал файл с тем же именем, червь замещает его своей копией.

  • Рассылает свои копии по найденным в поражённой системе адресам напрямую соединяясь с SMTP-серверами, содержащими в своих названиях следующие комбинации:

    smtp.
    mail.
    ns1.

  • Адреса для своей рассылки червь ищет, просматривая следующие файлы:

    HTM
    HTML
    .TXT
    .EML
    .WAB
    .ASP
    .PHP
    .CFM
    .CSV
    .DOC
    .HTT

  • Тело письма представляет собой содержимое HTML-файла (about.Brontok.A.html):

    BRONTOK.A[ 18 ]юТщкИуе
    -- Hentikan kebobrokan di negeri ini --
    1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
    ( Send to "NUSAKAMBANGAN")
    2. Stop Free Sex, Absorsi, & Prostitusi
    3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
    4. SAY NO TO DRUGS !!!
    -- KIAMAT SUDAH DEKAT --

  • Вложение представляет собой файл Kangen.exe

  • Адрес отправителя является поддельным.

  • Червь отслеживает заголовки активных окон. В случае обнаружения указанных ниже подстрок перезагружает систему:

    ADMIN
    ADOBE
    AHNLAB
    ALADDIN
    ALERT
    ALWIL
    ANTIGEN
    APACHE
    APPLICATION
    ARCHIEVE
    ASDF
    ASSOCIATE
    AVAST
    AVG
    AVIRA
    BILLING@
    BLACK
    BLAH
    BLEEP
    BUILDER
    CANON
    CENTER
    CILLIN
    CISCO
    CMD.
    CNET
    COMMAND
    COMMAND PROMPT
    CONTOH
    CONTROL
    CRACK
    DARK
    DATA
    DATABASE
    DEMO
    DETIK
    DEVELOP
    DOMAIN
    DOWNLOAD
    ESAFE
    ESAVE
    ESCAN
    EXAMPLE
    FEEDBACK
    FIREWALL
    FOO@
    FUCK
    FUJITSU
    GATEWAY
    GOOGLE
    GRISOFT
    GROUP
    HACK
    HAURI
    HIDDEN
    HP.
    IBM.
    INFO@
    INTEL.
    KOMPUTER
    LINUX
    LOG OFF WINDOWS
    LOTUS
    MACRO
    MALWARE
    MASTER
    MCAFEE
    MICRO
    MICROSOFT
    MOZILLA
    MYSQL
    NETSCAPE
    NETWORK
    NEWS
    NOD32
    NOKIA
    NORMAN
    NORTON
    NOVELL
    NVIDIA
    OPERA
    OVERTURE
    PANDA
    PATCH
    POSTGRE
    PROGRAM
    PROLAND
    PROMPT
    PROTECT
    PROXY
    RECIPIENT
    REGISTRY
    RELAY
    RESPONSE
    ROBOT
    SCAN
    SCRIPT HOST
    SEARCH R
    SECURE
    SECURITY
    SEKUR
    SENIOR
    SERVER
    SERVICE
    SHUT DOWN
    SIEMENS
    SMTP
    SOFT
    SOME
    SOPHOS
    SOURCE
    SPAM
    SPERSKY
    SUN.
    SUPPORT
    SYBARI
    SYMANTEC
    SYSTEM CONFIGURATION
    TEST
    TREND
    TRUST
    UPDATE
    UTILITY
    VAKSIN
    VIRUS
    W3.
    WINDOWS SECURITY.VBS
    WWW
    XEROX
    XXX
    YOUR
    ZDNET
    ZEND
    ZOMBIE

    • Информация по восстановлению системы

    1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
    2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
    3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".

    System recover recommendations

    1. Reboot Windows in Safe Mode.
    2. Use Dr.Web® scanner of free curing utility Dr.Web® CureIT! to scan local drives. The “Cure” action should be applied for all infected files.
    3. Restore registry from the backup copy.

    Important! Before following these recommendations you should set up the mail client you use so that it stores attachments as separate files and not in the body of the database. For example, such storage in TheBat! is enabled as follows: Account — Properties — Files & Directories — Keep attachment files — Separately in a special directory.
    Last updated: 2010-03-13 00:32:17 MSK
    Total records in virus database: 1127246

    Top virus chart

    Trojan.DownLoad.4155114.08%
    Trojan.DownLoad.3723612.32%
    Trojan.DownLoad.472569.10%
    Trojan.Botnetlog.zip6.62%
    Trojan.MulDrop.408966.43%

    Search in virus database

    Company | News&Events | Send a virus | Online scanner | Privacy policy | Site map More www-resources:
    www.av-desk.com
    www.freedrweb.com
    www.drweb-curenet.com    		 pda.drweb.com
    estore.drweb.com

    Doctor Web ©
    2003 — 2010

    Doctor Web is a Russian IT-security solutions vendor. Dr.Web anti-virus software has been developed since 1992. The leader on the Russian IT security services market, Doctor Web has been the first vendor that offered an anti-virus as a service in Russia. The company also offers proven anti-virus and anti-spam solutions for businesses, government entities, and personal use. We have a solid record of detecting malicious programs, and we adhere to all international security standards. Doctor Web has received numerous certificates and awards; our satisfied customers spanning the globe are clear evidence of the complete trust customers have in our products.