Détails Techniques
Ce ver se propage sur Internet sous forme de pièces jointes à des messages infectés. Il s’envoie à des adresses email collectées sur la machine victime.
Le ver est un fichier PE EXE Windows écrit en Visual Basic. La taille de ce fichier infecté peut être est très variable. La fonctionnalité décrite ci-dessous est caractéristique des variantes les plus connues de ce ver.
Installation
Lorsque le fichier infecté est exécuté, l’utilisateur voit apparaître une fenêtre Windows Explorer avec le dossier «Mes Images» (My Pictures) ouvert.
Lors de son installation, le ver modifie les clés suivantes de la base de registre désactivant les outils du registre de système et la ligne de commande, et affiche des fichiers et dossiers dans Windows Explorer.
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"Le message suivant par exemple s’affiche lorsque l'éditeur de base de registre est exécuté :
Le ver se fraye alors un chemin vers les données de l’application (Application Data) de l’utilisateur (%UserProfile%\Local Settings\Application Data) et copie son corps dans ce répertoire sous les noms suivants :
%UserProfile%\Local Settings\Application Data\br<random number>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exeUn fichier texte du nom de Kosong.Bron.Tok.txt (51 octets) est créé dans ce répertoire. Le contenu du fichier se présente comme suit :
Brontok.A
By: HVM31
-- JowoBot #VM Community --Le ver copie son corps :
dans le répertoire racine de Windows (%WinDir%) sous le nom suivant :
%WinDir%\sembako-<random symbols>.exedans le sous-répertoire ShellNew sous un nom généré comme suit :
bbm-<symboles aléatoires>.exe:
%WinDir%\ShellNew\bbm-<symboles aléatoires>.exe
et dans le répertoire système Windows sous les noms suivants :
%System%\DXBLBO.exe
%System%\cmd-bro-<random symbols>.exe
%System%\%UserName%'s Setting.scrLe ver se copie :
dans le répertoire Menu de Démarrage Automatique sous le nom d’Empty.pif :
%UserProfile%\%Autorun%\Empty.pifet dans le sous-répertoire Modèle de Document (Document Template) :
%UserProfile%\Templates\<nombre aléatoire>-NendangBro.comainsi que dans le répertoire “Mes Images” (My Pictures) de l’utilisateur :
%MyPictures%\Mypictures.exeUne page HTML du nom de about.Brontok.A.html est créée dans ce répertoire :
Lorsque cette page est consultée à l’aide du navigateur, le message suivant s'affiche :
Cette page contient le texte du message email que le ver envoie aux adresses collectées sur la machine victime.
Les copies du ver seront ensuite enregistrées dans la base de registre afin qu’elles soient exécutées automatiquement :
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=""
"Bron-Spizaetus-<random symbols>"="%WinDir%\ShellNew\bbm-<random symbols>.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=""
"Tok-Cirrhatus-<nombre aléatoire>"="%UserProfile%\Local Settings\Application Data\br<nombre aléatoire>on .exe"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe "%WinDir%\sembako-<symboles aléatoires>.exe""
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="cmd-bro-<symboles aléatoires>.exe"Une fois installé, le ver crée un fichier du nom de sistem.sys dans le répertoire système de Windows. Ce fichier contient la date et l'heure à laquelle le ver a été installé dans la machine victime au format suivant : mmddhhmm (mm indique le mois, dd la date, hh l’heure et mm les minutes). .
Propagation via email
Le ver collecte les adresses depuis les répertoires d’adresses de MS Windows et depuis les fichiers aux extensions suivantes :
ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WABToutes les adresses trouvées sont sauvegardées dans %AppData%\Loc.Mail.Bron.Tok sous forme de fichiers dont les noms sont des adresses emails, une extension .ini et le texte suivant :
Brontok.A
By: HVM31
-- JowoBot #VM Community –Un répertoire du nom de Ok-SendMail-Bron-tok est créé et les adresses auxquelles le message est envoyé, sont sauvegardées dans ce fichier.
Le ver utilise son propre moteur SMTP pour diffuser les messages infectés.
Messages infectés
Nom du document attaché (aléatoire parmi la liste suivante) :
ccapps.exe
jangan dibuka.exe
kangen.exe
my heart.exe
myheart.exe
syslove.exe
untukmu.exe
winword.exeTexte du message :
La page HTML ci –dessus se conduit comme le texte des messages infectés.
Action destructrice
Le ver vérifie l’en-tête de la fenêtre ouverte et si l'une des chaînes de mots suivantes se trouve dans l'en-tête, il redémarre le système :
..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIELe ver modifie le contenu d’autoexec.bat dans le répertoire racine C: y ajoutant « pause