キヤノンITソリューションズ株式会社 閉じる

ウイルス情報  
最新ウイルス定義ファイルバージョン : 12381
(2015/10/09 17:02)

最新ウイルス情報 : Win32/Brontok.A
最終更新日:2006年11月17日
このウイルスに関する危険度 :■■□□□

定義名称 Win32/Brontok.A
※このメッセージはシグネチャ検査による結果の場合に表示する名称です。
別名 Email-Worm.Win32.Brontok.a (Kaspersky), W32/Rontokbro.b@MM (McAfee), W32.Rontokbro.B@mm (Symantec)
種別 ワーム
対応定義ファイル バージョン 1.1402
アドバンスドヒューリスティック検査による結果だった場合 このオリジナルのワームを利用した亜種が検出された場合は、
「NewHeur_PE ウイルス」もしくは「Win32/Brontokワームの亜種」
という名称で警告が出ます。
影響受けるプラットフォーム Microsoft Windows
概要 Win32/Brontok.Aは、電子メールおよび共有フォルダを通じて感染を広げるワームです。詳しい活動内容については、解説欄をご参照ください。

 

検出した場合の対処方法

主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。共有フォルダ上で検出された場合は、ファイル自身を削除してください。

解説での表記(用語)について

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

解説

■侵入(インストレーション)について

Win32/Brontok.A ワームが実行されると、ワームは自分自身を次の場所へコピーします。

   %userprofile%\Local Settings\Application Data\winlogon.exe
%userprofile%\Local Settings\Application Data\services.exe
%userprofile%\Local Settings\Application Data\lsass.exe
%userprofile%\Local Settings\Application Data\inetinfo.exe
%userprofile%\Local Settings\Application Data\csrss.exe
%userprofile%\Local Settings\Application Data\smss.exe
%userprofile%\Local Settings\Application Data\IDTemplate.exe
%userprofile%\Start Menu\Programs\Startup\Empty.pif
%system%\3D Animation.scr
%windir%\Inf\norBtok.exe

いくつかのコピーは、%system%フォルダで保存されます。ファイル名を変えて、さらに次のフォルダが作成されます。

   %userprofile%\Local Settings\Application Data\Ok-SendMail-Bron-tok
%userprofile%\Local Settings\Application Data\Bron.tok-3.'1,2,3...'
%userprofile%\Local Settings\Application Data\BRONTOK
%userprofile%\Local Settings\Application Data\Loc.Mail.Bron.Tok

新たに次のファイルが作成されます。

   %userprofile%\Local Settings\Application Data\Kosong.Bron.Tok.txt
%userprofile%\Local Settings\Application Data\BronFoldNetDomList.txt

ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
" Bron-Spizaetus" = "%windir%\Inf\norBtok.exe"
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
" Tok-Cirrhatus" = "%userprofile%\Local Settings\Application Data\smss.exe"

さらに、次のレジストリを登録します。

   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
" NoFolderOptions" = "1"
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
" Hidden" = "0"
" ShowSuperHidden" = "0"
" HideFileExt" = "1"
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
" DisableRegistryTools" = "1"
" DisableCMD" = "0"

■電子メール経由の拡散について

ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。

   .asp
.cfm
.csv
.doc
.eml
.htm
.html
.php
.txt
.wab

次の文字列を含むアドレスは避けます。

   .AC.ID
.ASP
.CO.ID
.EXE
.GO.ID
.HTM
.JS
.MIL.ID
.NET.ID
.OR.ID
.PHP
.SCH.ID
.WAR.NET.ID
.WEB.ID
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWI
ANTIGEN
APACHE
ARCHIEVE
ASDF
ASSOCIATE
ASTAGA
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BOLEH
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
CONTOH
CONTROL
CRACK
DARK
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
EMAILKU
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GAUL
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HOTMAIL
HP.
IBM.
INDO
INFO@
INTEL.
KOMPUTER
LINUX
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MSN.
MSNSC
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
PLASA
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SATU
SCAN
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SES_ID
SESSIO
SIEMENS
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
TELKOM
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VBS
VIRUS
W3.
W3.ORG
XEROX
ZDNET
ZEND
ZOMBIE

電子メールの送信先(Sender)は、次の文字列のいくつかが使用されます。

   Berita_
GaulNews_
HotNews_
Movie_
@kafegaul.com
@pornstargals.com

電子メールの件名(Subject)は、何もありません。

電子メールの本文(Body)は、次の内容です。

   BRONTOK.A
-- Hentikan kebobrokan di negeri ini --

1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")

2. Stop Free Sex, Absorsi, & Prostitusi

3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.

4. SAY NO TO DRUGS !!!


-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
[ By: HVM31 ]
-- JowoBot #VM Community --

添付ファイルはワームの実行形式ファイルで、ファイル名は次の名前です。

   kangen.exe

■共有フォルダ経由の拡散について

次の共有フォルダが作成されます。

   %userprofile%\My Documents\MY DATA SOURCES
%userprofile%\My Documents\MY EBOOKS
%userprofile%\My Documents\MY MUSIC
%userprofile%\My Documents\MY PICTURES
%userprofile%\My Documents\MY SHAPES
%userprofile%\My Documents\MY VIDEOS

実行可能なワームは、次の名前を使ってコピーされます。

   kangen.exe

■その他の情報

ワームは、次のサーバーに対して、DoS攻撃をします。

   israel.gov.il
playboy.com

ワームは、オペレーティングシステムの再起動をすることがあります。


このページのトップへ

(C)Canon IT Solutions Inc.