別名

Email-Worm.Win32.Brontok.q (Kaspersky Lab) は以下の名称でも知られています:
W32/Rontokbro.gen@MM (McAfee),   W32.Rontokbro@mm (Symantec),   BackDoor.Generic.1138 (Doctor Web),   W32/Korbo-B (Sophos),   WORM_RONTOKBRO.F (Trend Micro),   W32/Brontok.C@mm (FRISK),   Win32:Rontokbr-B (ALWIL),   I-Worm/VB.FY (Grisoft),   Win32.Brontok.C@MM (SOFTWIN),   Worm.Brontok.E (ClamAV),   Win32/Brontok.F (Eset)

検知日	2006年5月15日
登録日	2006年10月23日
動作分類	Eメールワーム (Email Worm)

• 技術情報
• 感染状況

このワームは、感染されたメールの添付ファイルとしてインターネット経由で広がります。それは、犠牲ＰＣから取得したＥメールアドレスにそれ自身を送ります。

ワームは、ビジュアルベーシックで書かれた Windows PE EXE ファイルです。感染されたファイルのサイズは、著しく変わることが出来ます。下記に述べられた機能は、このワームの最も一般的な亜種の特徴です。

インストール

感染させられたファイルが初めて実行される時に、ユーザは、「My Pictures」フォルダをオープンしたウインドウズエクスプローラのウインドウを見るでしょう。

ワームは、インストールする時に、下記のシステムレジストリキーを改変し、システムレジストリツールとコマンドラインを無効にし、ウインドウズエクスプローラでファイルとフォルダを表示します。

例えば、レジストリエディターが実行される時に、下記のメッセージが表示されるでしょう。

ワームは、その時、現在のユーザのアプリケーションデータへのパス (%UserProfile%\Local Settings\Application Data) を得て、このディレクトリに下記の名前でその本体をコピーします。

"Kosong.Bron.Tok.txt"（サイズは、５１バイト）と呼ばれるテキストファイルは、また、このディレクトリに作成されます。ファイルは、下記の内容を持っています。

ワームは、また、ウインドウズディレクトリ (%WinDir%) に下記の名前でその本体をコピーします。

そして、ShellNew サブディレクトリで、下記の "bbm-<ランダムな記号>.exe" の名前をつけます。

そして、ウインドウズシステムディレクトリで、下記の名前をつけます。

ワームは、また、スタートメニュー自動実行ディレクトリに、"Empty.pif" としてそれ自身をコピーします。

そして、ドキュメントテンプレートサブディレクトリで、下記の名前をつけます。

そして、現在のユーザの My Pictures ディレクトリで、下記の名前をつけます。

about.Brontok.A.html と呼ばれる HTML ページは、また、このディレクトリに作成されます。

このページがブラウザを使って見られた時に、下記のメッセージが表示されます。

このページは、ワームが犠牲ＰＣから取得したＥメールアドレスへ送るＥメールメッセージの内容を含みます。

ワームのコピーは、その時、それらを自動的に実行する目的で、システムレジストリに登録されます。

ワームは、一旦インストールされると、ウインドウズシステムディレクトリに "sistem.sys" と呼ばれるファイルを作成します。このファイルは、ワームが犠牲ＰＣに下記のフォーマット（mmddhhmm ： mm = 月、dd = 日、hh = 時、mm = 分）でインストールされた日時を含みます。

メールによる感染

ワームは、MS ウインドウズアドレス帳と下記の拡張子のファイルからＥメールアドレスを取得します。

ASP
CFM
CSV
DOC
EML
HTM
HTML
PHP
TXT
WAB

取得された全てのアドレスは、Ｅメールアドレス名、.ini 拡張子、下記のテキストを持つファイルとして、%AppData%\Loc.Mail.Bron.Tok に保存されます。

Ok-SendMail-Bron-tok と呼ばれるディレクトリが、作成されます。そして、メッセージが送られるアドレスは、このファイルに保存されます。

感染させられたメッセージを送る時に、ワームは、それ自身の SMTP エンジンを使います。

感染させれたメッセージ

添付ファイル名（下記のリストから選ばれます。）

• ccapps.exe
• jangan dibuka.exe
• kangen.exe
• my heart.exe
• myheart.exe
• syslove.exe
• untukmu.exe
• winword.exe

メッセージテキスト

HTML ページは、感染させられたメッセージのテキストとして上記の行為を表示します。

ワームは、オープンウインドウのヘッダーをチェックして、もし下記の文字列の一つがヘッダーにあれば、それは、システムをリブートするでしょう。

..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

ワームは、また、Ｃドライブのルートディレクトリの "autoexec.bat" の内容を改変して、それに "pause" を付加します。