 |
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。共有フォルダ上で検出された場合は、ファイル自身を削除してください。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Brontok.A ワームが実行されると、ワームは自分自身を次の場所へコピーします。
| |
%userprofile%\Local Settings\Application
Data\winlogon.exe
%userprofile%\Local Settings\Application
Data\services.exe
%userprofile%\Local Settings\Application
Data\lsass.exe
%userprofile%\Local Settings\Application
Data\inetinfo.exe
%userprofile%\Local Settings\Application
Data\csrss.exe
%userprofile%\Local Settings\Application
Data\smss.exe
%userprofile%\Local Settings\Application
Data\IDTemplate.exe
%userprofile%\Start Menu\Programs\Startup\Empty.pif
%system%\3D Animation.scr
%windir%\Inf\norBtok.exe |
いくつかのコピーは、%system%フォルダで保存されます。ファイル名を変えて、さらに次のフォルダが作成されます。
| |
%userprofile%\Local Settings\Application
Data\Ok-SendMail-Bron-tok
%userprofile%\Local Settings\Application
Data\Bron.tok-3.'1,2,3...'
%userprofile%\Local Settings\Application
Data\BRONTOK
%userprofile%\Local Settings\Application
Data\Loc.Mail.Bron.Tok |
新たに次のファイルが作成されます。
| |
%userprofile%\Local Settings\Application
Data\Kosong.Bron.Tok.txt
%userprofile%\Local Settings\Application Data\BronFoldNetDomList.txt |
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
| |
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"
Bron-Spizaetus" = "%windir%\Inf\norBtok.exe" |
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"
Tok-Cirrhatus" = "%userprofile%\Local
Settings\Application Data\smss.exe" |
さらに、次のレジストリを登録します。
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"
NoFolderOptions" = "1" |
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"
Hidden" = "0"
"
ShowSuperHidden" = "0"
"
HideFileExt" = "1" |
| |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"
DisableRegistryTools" = "1"
"
DisableCMD" = "0" |
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。
| |
.asp
.cfm
.csv
.doc
.eml
.htm
.html
.php
.txt
.wab |
次の文字列を含むアドレスは避けます。
| |
.AC.ID
.ASP
.CO.ID
.EXE
.GO.ID
.HTM
.JS
.MIL.ID
.NET.ID
.OR.ID
.PHP
.SCH.ID
.WAR.NET.ID
.WEB.ID
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWI
ANTIGEN
APACHE
ARCHIEVE
ASDF
ASSOCIATE
ASTAGA
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BOLEH
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
CONTOH
CONTROL
CRACK
DARK
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
EMAILKU
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GAUL
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HOTMAIL
HP.
IBM.
INDO
INFO@
INTEL.
KOMPUTER
LINUX
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MSN.
MSNSC
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
PLASA
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SATU
SCAN
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SES_ID
SESSIO
SIEMENS
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
TELKOM
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VBS
VIRUS
W3.
W3.ORG
XEROX
ZDNET
ZEND
ZOMBIE |
電子メールの送信先(Sender)は、次の文字列のいくつかが使用されます。
| |
Berita_
GaulNews_
HotNews_
Movie_
@kafegaul.com
@pornstargals.com |
電子メールの件名(Subject)は、何もありません。
電子メールの本文(Body)は、次の内容です。
| |
BRONTOK.A
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang
Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai),
pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang
hampir punah
[ By: HVM31 ]
-- JowoBot #VM Community --
|
添付ファイルはワームの実行形式ファイルで、ファイル名は次の名前です。
■共有フォルダ経由の拡散について
次の共有フォルダが作成されます。
| |
%userprofile%\My Documents\MY
DATA SOURCES
%userprofile%\My Documents\MY EBOOKS
%userprofile%\My Documents\MY MUSIC
%userprofile%\My Documents\MY PICTURES
%userprofile%\My Documents\MY SHAPES
%userprofile%\My Documents\MY VIDEOS |
実行可能なワームは、次の名前を使ってコピーされます。
■その他の情報
ワームは、次のサーバーに対して、DoS攻撃をします。
| |
israel.gov.il
playboy.com |
ワームは、オペレーティングシステムの再起動をすることがあります。
|
