分析者: John Rainier Navato   
 :

Worm:Win32/Brontok@mm (MICROSOFT)

 平台:

Windows

 总体风险等级:
 潜在破坏:
 潜在分布:
 感染次数:
 信息暴露:

  • 恶意软件类型:
    Worm

  • 有破坏性?:
    没有

  • 加密?:
     

  • In the Wild:
    是的

  概要

感染途徑: 从互联网下载、由其他恶意软件释放

该蠕虫通过以下方式进入系统:作为其他恶意软件释放的文件,或用户在访问恶意网站时不小心下载的文件。

  技术详细信息

文件大小: 43,403 bytes
内存驻留: 是的
初始樣本接收日期: 2025年2月5日
Payload: 连接URL/IP地址, 释放文件, 修改系统注册表

Arrival Details

该蠕虫通过以下方式进入系统:作为其他恶意软件释放的文件,或用户在访问恶意网站时不小心下载的文件。

Installation

该蠕虫会在受感染系统中释放以下自身副本并执行:

  • %AppDataLocal%\csrss.exe
  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\smss.exe
  • %AppDataLocal%\winlogon.exe

(Note: %AppDataLocal% 是本地应用程序数据文件夹, 通常位于此路径 C:\Documents and Settings\{user name}\Local Settings\Application Data 在Windows 2000(32位)、XP及Server 2003(32位)系统上,或 C:\Users\{user name}\AppData\Local 在Windows Vista、7、8、8.1、2008(64位)、2012(64位)及10(64位)系统上。)

它会在受感染系统中释放以下副本:

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif
  • %Application data%\Microsoft\Windows\Templates\Brengkolang.com
  • %System%\drivers\etc\hosts-Denied By-Administrator.com
  • %Windows%\KesenjanganSosial.exe
  • %Windows%\ShellNew\RakyatKelaparan.exe
  • %Windows%\SysWOW64\Administrator's Setting.scr
  • %Windows%\SysWOW64\cmd-brontok.exe

它会添加以下进程:

  • %AppDataLocal%\inetinfo.exe
  • %AppDataLocal%\lsass.exe
  • %AppDataLocal%\services.exe
  • %AppDataLocal%\winlogon.exe
  • %AppDataLocal%\smss.exe
  • %Windows%\SysWOW64\at.exe at 17:08 /every:M,T,W,Th,F,S,Su "%Application data%\Microsoft\Windows\Templates\Brengkolang.com"

Autostart Technique

该蠕虫会添加以下注册表项,以实现每次系统启动时自动运行:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus =

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus-3444 = %AppDataLocal%\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows\CurrentVersion\
Run
Bron-Spizaetus = %Windows%\ShellNew\RakyatKelaparan.exe

它修改以下注册表项,以确保每次系统启动时自动运行:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\
Microsoft\Windows NT\CurrentVersion\
Winlogon
Shell = Explorer.exe "%Windows%\KesenjanganSosial.exe"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot
AlternateShell = cmd-brontok.exe

它通过将以下自身副本释放到Windows通用启动文件夹中,实现每次系统启动时自动执行:

  • %Application data%\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif

其他系统修改

This Worm modifies the following registry entries:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = 1

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Policies\
System
NoFolderOptions = 1

其他信息

This Worm connects to the following possibly malicious URL:

  • http://www.{BLOCKED}ies.com/sbllma5/Host15.txt
  • http://www.{BLOCKED}ies.com/sbllma5/IN15VLMLWHOX.txt
  • http://www.{BLOCKED}o.com

它会执行以下操作:

  • It uses the at command to add a scheduled task that executes the copies it drops.
  • The scheduled task executes the malware every 5:08 PM every day

  解决方案

最小扫描引擎: 9.800
First VSAPI Pattern File: 19.910.03
VSAPI 第一样式发布日期: 2025年2月18日
VSAPI OPR样式版本: 19.911.00
VSAPI OPR样式发布日期: 2025年2月19日
N