Worm.Win32.Brontok

شرح کلی

نوع: کرم (worm)
اسامی بدافزار:
Worm.Win32.Brontok.a
Worm.Win32.Brontok.AP
Worm.Win32.Brontok.fn
Worm.Win32.Brontok.Qq
Worm.Win32.Brontok.jlVB
Worm.Win32.Brontok.proc
Worm.Win32.Brontok.mm
درجه تخریب: زیاد
میزان شیوع: متوسط

کرم (worm) چیست؟

کرم‌های کامپیوتری همچون Brontok نوعی از بدافزار محسوب می‌شوند که توان تکثیر کردن خود را به‌صورت خودکار دارند. کرم‌‌ها برای بقا، روش‌هایی را تنظیم می‌کنند تا در هر بار راه‌اندازی سیستم، آلودگی تداوم داشته باشد. ویژگی بارز کرم‌ها در نحوه انتشار آن‌هاست که عموماً از طریق درایوهای قابل‌حمل و دایرکتوری‌های share شده در شبکه هست.

بدافزار Brontok چیست؟

این بدافزار که با هدف انجام حملات ddos به سرورهای مورد نظر خود وارد سیستم قربانی می‌­شود، در اولین اجرای خود نسخه‌هایی از خود را در مکان های مختلف سیستم ایجاد می‌کند و برای بقای خود کلید رجیستری هایی را ایجاد می‌کند.

این کرم از طریق ایمیل , share folder و درایوهای قابل حمل منتشر می‌شود. همچنین قابلیت غیر فعال کردن آنتی ویروس‌ها و نرم افزارهای امنیتی در سیستم قربانی را دارد.

توضیحات فنی

علائم:

این بدافزار فایل­‌های خود را با اسامی جعلی مشابه اسامی ابزارهای سیستمی در مسیر %appdata% ایجاد می­‌کند.

“%appdata%\smss.exe”

“%appdata%\services.exe”

“%appdata%\lsass.exe”

“%appdata%\inetinfo.exe”

“%appdata%\csrss.exe”

“%appdata%\winlogon.exe”

همچنین اقدام به ساخت فایل‌­های زیر می­‌کند:

“%windir%\ShellNew\sempalong.exe”

“%windir%\eksplorasi.exe”

“%userprofile%\Start Menu\Programs\Startup\Empty.pif”

“%userprofile%\Templates\Brengkolang.com”

“[system32]\<username>’s Setting.scr”

“[system32]\drivers\etc\hosts-Denied By-<username>.com”

این بدافزارهمچنین با اصلاح shell ویندوز و کلید RUN رجیستری برای خود بقا ایجاد می­‌کند :

“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus”

Data:”%windir%\ShellNew\sempalong.exe”

“HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell”

Data: Explorer.exe “%windir%\eksplorasi.exe”

“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus”

Data: “%appdata%\smss.exe”

“HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD”

شرح عملکرد فایل بدافزار :

این بدافزار به هدف حملات ddos وارد سیستم قربانی می‌شود.

پس از ساخت بقا برای خود، فایل smss.exe جعلی را اجرا می‌کند که این پردازه نسخه‌های دیگری از پردازه اصلی را اجرا کرده و در این بین تمام taskهای سیستم که ساخته شده‌­اند را پاک می‌کند و سپس task به هدف اجرای یکی از نسخه‌های خود به نام Brengkolang.com را ایجاد می‌کند این task در تمام روزهای هفته در ساعتی خاص بدافزار را اجرا می‌کند.

در ادامه پردازه‌­ای به نام csrss (که نسخه ای از کپی اصلی بدافزار است ) پردازه های زیر را kill می‌کند.

mcvsescn.exe

poproxy.exe

avgemc.exe

ccapps.exe

tskmgr.exe

syslove.exe

xpshare.exe

riyani_jangkaru.exe

systray.exe

در لیست بالا اسامی پردازه‌­هایی به چشم می­‌خورد که متعلق به آنتی ویروس‌­ها می‌باشد. به طور مثال mcvsescn.exe متعلق به McAfee VirusScan E-mail  است و همینطور فایل poproxy.exe متعلق به آنتی ویروس Norton AntiVirus protection suite  می­‌باشد.

همچنین از فرستادن ایمیل به آدرس‌هایی که شامل رشته‌های زیر است جلوگیری می‌کند.

SECURE – SUPPORT – MASTER – MICROSOFT – VIRUS – HACK – CRACK – LINUX – AVG – GRISOFT – CILLIN – SECURITY – SYMANTEC – ASSOCIATE – VAKSIN – NORTON – NORMAN – PANDA – SOFT – SPAM – BLAH – YOUR – SOME – ASDF – @. – .@ – WWW – VAKSIN – DEVELOP – PROGRAM – SOURCE – NETWORK – UPDATE – TEST – .. – XXX – SMTP – EXAMPLE – CONTOH – INFO@ – BILLING@ – .ASP – .PHP – .HTM – .EXE – .JS – .VBS – DOMAIN – HIDDEN – DEMO – DEVELOP – FOO@ – KOMPUTER – SENIOR – DARK – BLACK – BLEEP – FEEDBACK – IBM. – INTEL. – MACRO – ADOBE – RECIPIENT – SERVER – PROXY – ZEND – ZDNET – CNET – DOWNLOAD – HP. – XEROX – CANON – SERVICE – ARCHIEVE – NETSCAPE – MOZILLA – OPERA – NOVELL – NEWS – UPDATE – RESPONSE – OVERTURE – GROUP – GATEWAY – RELAY – ALERT – SEKUR – CISCO – LOTUS – MICRO – TREND – SIEMENS – FUJITSU – NOKIA – W3. – NVIDIA – APACHE – MYSQL – POSTGRE – SUN. – GOOGLE – SPERSKY – ZOMBIE – ADMIN – AVIRA – AVAST – TRUST – ESAVE – ESAFE – PROTECT – ALADDIN – ALERT – BUILDER – DATABASE – AHNLAB – PROLAND – ESCAN – HAURI – NOD32 – SYBARI – ANTIGEN – ROBOT – ALWIL – YAHOO – COMPUSE – COMPUTE – SECUN – SPYW – REGIST – FREE – BUG – MATH – LAB – IEEE – KDE – TRACK – INFORMA – FUJI – @MAC – SLACK – REDHA – SUSE – BUNTU – XANDROS – @ABC – @123 – LOOKSMART – SYNDICAT – ELEKTRO – ELECTRO – NASA – LUCENT – TELECOM – STUDIO – SIERRA – USERNAME – IPTEK – CLICK – SALES – PROMO

بدافزار title پنجره‌­های باز شده در سیستم را مانیتور می­‌کند. هر پنجره ای که تیترهای زیر در قسمت title آن پیدا شود باعث می‌شود که سیستم راه اندازی مجدد شود.

REGISTRY

SYSTEM CONFIGURATION

COMMAND PROMPT

.EXE

SHUT DOWN

SCRIPT HOST

LOG OFF WINDOWS

KILLBOX

TASKKILL

TASK KILL

HIJACK

BLEEPING

همانطور که پیش­تر گفته شد بدافزار به هدف ddos وارد سیستم می‌شود حمله­‌ای که از این بدافزار دیده شد ping of death بود که  با فرستادن بسته‌های icmp به سرور مورد نظر با بافر ۷۴۷ بایت موجب وقفه در سرویس دهی سرور می‌شود.

بدافزار به سه روش منتشر می‌شود :

1. توسط درایو‌های قابل حمل

همانطور که در شکل مشخص است بدافزار در هر پوشه نسخه ای از خود را به نام اطلاعات کاربر (به طور مثال data+username) می‌سازد.

 

2. که در پیوست ایمیل‌ها خود را کپی کرده و ایمیل را ارسال می‌کند.

3. خود را در پوشه‌های share شده سیستم کپی می‌کند.

 

روش مقابله و پاک‌سازی سیستم

‫آنتی ویروس پادویش با استفاده از سرویس پویش بلادرنگ درایوها و پوشه‌­های به اشتراک گذاشته شده در شبکه اقدام به رصد نمونه‌های این بدافزار و پاکسازی آن­ها می‌­کند. همچنین با دارا بودن قابلیت UMP  که جزء محافظت رفتاری آن است جلوی آلوده شدن سیستم از طریق درایو قابل‌حمل را می‌گیرد. ازاین‌رو جهت پیشگیری از آلودگی به انواع بدافزارهایی که از این طریق انتقال میابند ازجمله بدافزار Brontok پیشنهاد می‌شود با نصب پادویش از ورود بدافزار به سیستم خود جلوگیری کنید.