L'ecole d'informatique !
Vous souhaitez réagir à ce message ? Créez un compte en quelques clics ou connectez-vous pour continuer.

L'ecole d'informatique !

Forum consacré a l'univers de l'informatique, de l'internet et du pc en general !
 
AccueilPortailRechercherDernières imagesS'enregistrerConnexion
Le Deal du moment :
Manga Chainsaw Man : où acheter le Tome 17 ...
Voir le deal
19.99 €

 

 Email-Worm.Win32.Brontok.q

Aller en bas 
AuteurMessage
Admin
Admin



Nombre de messages : 54
Localisation : Ile-de-france
Date d'inscription : 17/08/2007

Email-Worm.Win32.Brontok.q Empty
MessageSujet: Email-Worm.Win32.Brontok.q   Email-Worm.Win32.Brontok.q Icon_minitimeMar 21 Aoû - 13:28

Détails Techniques

Ce ver se propage sur Internet sous forme de pièces jointes à des messages infectés. Il s’envoie à des adresses email collectées sur la machine victime.

Le ver est un fichier PE EXE Windows écrit en Visual Basic. La taille de ce fichier infecté peut être est très variable. La fonctionnalité décrite ci-dessous est caractéristique des variantes les plus connues de ce ver.

Installation
Lorsque le fichier infecté est exécuté, l’utilisateur voit apparaître une fenêtre Windows Explorer avec le dossier «Mes Images» (My Pictures) ouvert.

Lors de son installation, le ver modifie les clés suivantes de la base de registre désactivant les outils du registre de système et la ligne de commande, et affiche des fichiers et dossiers dans Windows Explorer.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

Le message suivant par exemple s’affiche lorsque l'éditeur de base de registre est exécuté :
Email-Worm.Win32.Brontok.q 21754610


Le ver se fraye alors un chemin vers les données de l’application (Application Data) de l’utilisateur (%UserProfile%\Local Settings\Application Data) et copie son corps dans ce répertoire sous les noms suivants :

%UserProfile%\Local Settings\Application Data\br<random number>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
Un fichier texte du nom de Kosong.Bron.Tok.txt (51 octets) est créé dans ce répertoire. Le contenu du fichier se présente comme suit :

Brontok.A
By: HVM31
-- JowoBot #VM Community --
Le ver copie son corps :

dans le répertoire racine de Windows (%WinDir%) sous le nom suivant :
%WinDir%\sembako-<random symbols>.exe
dans le sous-répertoire ShellNew sous un nom généré comme suit : bbm-<symboles aléatoires>.exe:
%WinDir%\ShellNew\bbm-<symboles aléatoires>.exe
et dans le répertoire système Windows sous les noms suivants :
%System%\DXBLBO.exe
%System%\cmd-bro-<random symbols>.exe
%System%\%UserName%'s Setting.scr

Le ver se copie :

dans le répertoire Menu de Démarrage Automatique sous le nom d’Empty.pif :
%UserProfile%\%Autorun%\Empty.pif
et dans le sous-répertoire Modèle de Document (Document Template) :
%UserProfile%\Templates\<nombre aléatoire>-NendangBro.com
ainsi que dans le répertoire “Mes Images” (My Pictures) de l’utilisateur :
%MyPictures%\Mypictures.exe
Une page HTML du nom de about.Brontok.A.html est créée dans ce répertoire :
Email-Worm.Win32.Brontok.q 21754610


Lorsque cette page est consultée à l’aide du navigateur, le message suivant s'affiche :
Email-Worm.Win32.Brontok.q 21754611


Cette page contient le texte du message email que le ver envoie aux adresses collectées sur la machine victime.

Les copies du ver seront ensuite enregistrées dans la base de registre afin qu’elles soient exécutées automatiquement :

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=""
"Bron-Spizaetus-<random symbols>"="%WinDir%\ShellNew\bbm-<random symbols>.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=""
"Tok-Cirrhatus-<nombre aléatoire>"="%UserProfile%\Local Settings\Application Data\br<nombre aléatoire>on .exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\sembako-<symboles aléatoires>.exe""

[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd-bro-<symboles aléatoires>.exe"

Une fois installé, le ver crée un fichier du nom de sistem.sys dans le répertoire système de Windows. Ce fichier contient la date et l'heure à laquelle le ver a été installé dans la machine victime au format suivant : mmddhhmm (mm indique le mois, dd la date, hh l’heure et mm les minutes). .

Propagation via email
Le ver collecte les adresses depuis les répertoires d’adresses de MS Windows et depuis les fichiers aux extensions suivantes :

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB
Toutes les adresses trouvées sont sauvegardées dans %AppData%\Loc.Mail.Bron.Tok sous forme de fichiers dont les noms sont des adresses emails, une extension .ini et le texte suivant :

Brontok.A
By: HVM31
-- JowoBot #VM Community –
Un répertoire du nom de Ok-SendMail-Bron-tok est créé et les adresses auxquelles le message est envoyé, sont sauvegardées dans ce fichier.

Le ver utilise son propre moteur SMTP pour diffuser les messages infectés.

Messages infectés
Nom du document attaché (aléatoire parmi la liste suivante) :
ccapps.exe
jangan dibuka.exe
kangen.exe
my heart.exe
myheart.exe
syslove.exe
untukmu.exe
winword.exe
Texte du message :
La page HTML ci –dessus se conduit comme le texte des messages infectés.

Action destructrice

Le ver vérifie l’en-tête de la fenêtre ouverte et si l'une des chaînes de mots suivantes se trouve dans l'en-tête, il redémarre le système :

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE


Le ver modifie le contenu d’autoexec.bat dans le répertoire racine C: y ajoutant « pause
Revenir en haut Aller en bas
https://ecoleinformatique.forum-actif.net
 
Email-Worm.Win32.Brontok.q
Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
L'ecole d'informatique ! :: problèmes ordinateur :: Virus/Sécurité-
Sauter vers:  
Ne ratez plus aucun deal !
Abonnez-vous pour recevoir par notification une sélection des meilleurs deals chaque jour.
IgnorerAutoriser