|
|
検出した場合の対処方法 |
|
|
主にメール受信中(POP3経由)に受け取ろうとしたメールの添付ファイルに対して検出されますので、安全のため添付ファイルのみではなく、受け取ったメール自身は削除してください。
常駐監視を行っているAMON、IMON、DMON、EMONによって検出された場合は、駆除もしくは削除を行ってください。駆除もしくは削除ができない場合は、Windows
のシステムの復元により修復しなければならない可能性があります。
|
|
解説での表記(用語)について |
|
|
以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir%
と表記しており、インストール時の設定により異なる場合があります。%windir% のサブディレクトリである"System"や"System32"は
%system% と表記しています。
|
|
解説 |
|
|
■侵入(インストレーション)について
Win32/Brontok.T ワームが実行されると、ワームは自分自身を次の場所へコピーします。
|
%startup%\Empty.pif
%userprofile%\Local Settings\Application
Data\smss.exe
%userprofile%\Local Settings\Application
Data\services.exe
%userprofile%\Local Settings\Application
Data\lsass.exe
%userprofile%\Local Settings\Application
Data\inetinfo.exe
%userprofile%\Local Settings\Application
Data\csrss.exe
%userprofile%\Local Settings\Application
Data\winlogon.exe
%userprofile%\Templates\WowTumpeh.com
%windir%\eksplorasi.exe
%windir%\ShellNew\bronstab.exe
%windir\system32\%username%s Setting.scr |
ファイルは、次のフォルダにコピーをします。
|
MY DATA SOURCES
MY DOCUMENTS
MY EBOOKS
MY MUSIC
MY PICTURES
MY SHAPES
MY VIDEOS |
使用されるファイル名は、特定のフォルダにすでに送られているファイル名と同じです。ファイルには、さらに「.exe」拡張子が追加されます。
ワームは、システムが開始される毎に実行できるよう、次のレジストリを登録します。
|
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"
Bron-Spizaetus" = "%windir%\ShellNew\bronstab.exe" |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"
Tok-Cirrhatus" = "%userprofile%\Local
Settings\Application Data\smss.exe" |
次のレジストリを登録します。
|
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell]
"
Explorer.exe" = "%windir%\eksplorasi.exe" |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Policies\System]
"
DisableRegistryTools" = 1 |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Policies\System]
"
NoFolderOptions" = 1 |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Policies\Explorer]
"
DisableCMD" = 0 |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced]
"
Hidden" = 0 |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced]
"
ShowSuperHidden" = 0 |
|
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\advanced]
"
HideFileExt" = 1 |
ワームは、次のファイルに対して毎日タスクより実行できるようスケジューリングします。
|
%userprofile%\Templates\WowTumpeh.com |
ワームは、インターネットから次のファイルをダウンロードしてリプレースします。
|
%windir%\System32\drivers\etc\hosts |
いくつかのインターネット サーバーへのアクセスをブロックします。
次のファイルを削除します。
|
folder.htt
IDTemplate.exe
jangan dibuka.exe
kangen.exe
myheart.exe
my heart.exe
untukmu.exe
%userprofile%\Templates\A.kotnorB.com
%userprofile%\Templates\bararontok.com
%windir%\eksplorasi.pif
%windir%\ShellNew\ElnorB.exe
%windir%\system32\3D Animation.scr |
ワームはほかにも類似するファイルを削除する場合があります。
■電子メール経由の拡散について
ワームはさらに拡散するために、電子メールアドレスを取得する手段として、次の拡張子のうちの1つのローカルファイルで捜す行動をとります。
|
asp
cfm
csv
eml
eml
htm
html
php
txt
wab |
次の文字列を含むアドレスは避けます。
|
...XXX
.@
.ASP
.EXE
.HTM
.JS
.PHP
.VBS
@.
@123
@ABC
@MAC
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUG
BUILDER
BUNTU
CANON
CILLIN
CISCO
CLICK
CNET
COMPUSE
COMPUTE
CONTOH
CRACK
DARK
DATABASE
DEMO
DEVELOP
DOMAIN
DOWNLOAD
ELECTRO
ELEKTRO
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FOO@
FREE
FUCK
FUJI
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
IEEE
INFO@
INFORMA
INTEL.
IPTEK
KDE
KOMPUTER
LAB
LINUX
LOOKSMART
LOTUS
LUCENT
MACRO
MASTER
MATH
MICRO
MICROSOFT
MOZILLA
MYSQL
NASA
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
POSTGRE
PROGRAM
PROLAND
PROMO
PROTECT
PROXY
RECIPIENT
REDHA
REGIST
RELAY
RESPONSE
ROBOT
SALES
SECUN
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SIEMENS
SIERRA
SLACK
SMTP
SOFT
SOME
SOURCE
SPAM
SPERSKY
SPYW
STUDIO
SUN.
SUPPORT
SUSE
SYBARI
SYMANTEC
SYNDICAT
TELECOM
TEST
TRACK
TREND
TRUST
UPDATE
USERNAME
VAKSIN
VIRUS
W3.
WWW
XANDROS
XEROX
YAHOO
YOUR
ZDNET
ZEND
ZOMBIE |
差出人(送り主・送信アドレス)は、次のうちの1つです。
|
Berita__XX@kafegaul.com
GaulNew_XX@kafegaul.com
HotNews_XX@playboy.com
Movie_XX@playboy.com |
メッセージ本文は、ワームがインターネットからダウンロードしたデータに依存します。
■共有フォルダ経由の拡散について
ワームは、さまざまな共有フォルダを探します。ワームの実行可能なファイルは、予めそのフォルダにあるファイル名を使用して、自分自身をコピーします。さらに、そのファイルに「.exe」拡張子が追加されるか、もしくは次の名前を使用されることがあります。
ワームは、リムーバブルドライブのルートフォルダに自分自身をコピーします。
■その他の情報
次のテキストが表示されます。
|
BRONTOK.A[10]
-- Hentikan kebobrokan di negeri ini --
1. Penjarakan Koruptor, Penyelundup, Tukang
Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )
3. Stop pencemaran lingkungan, pembakaran
hutan & perburuan liar.
4. SAY NO TO FRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh:
Elang Brontok (Spizaetus Cirrhatus) yang
hampir punah
[ By: HVM31 ]
-- JowoBot #VM Community --
!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh)
Terkapar !!!
|
次のプログラムが終了されます。
|
avgemc.exe
ccapps.exe
mcvsescn.exe
poproxy.exe
riyani_jangkaru.exe
syslove.exe
systray.exe
tskmgr.exe
xpshare.exe |
ワームは、2つのサーバーに対して繰り返して DoS攻撃をします。
ワームは、インターネットからファイルのダウンロードを試みます。ダウンロードしたファイルは実行されます。
|