ブロントック

Brontokは、 Microsoft Windows上で動作するコンピュータワーム^[1]です。電子メールを介して拡散します。亜種には以下のものがあります。

ブロントック.A
ブロントック.D
ブロントック.F
ブロントック.G
ブロントック.H
ブロントックI
ブロントック.K
ブロントックQ
ブロントックU
ブロントック.BH

最も被害を受けた国はロシア、ベトナム、ブラジルで、次いでスペイン、メキシコ、イラン、アゼルバイジャン、インド、フィリピンとなっている。^[2]

その他の名前

このワームの他の名前には、W32/Rontokbro.gen@MM、W32.Rontokbro@mm、BackDoor.Generic.1138、W32/Korbo-B、Worm/Brontok.a、Win32.Brontok.A@mm、Worm.Mytob.GH、W32/Brontok.C.worm、Win32/Brontok.E、Win32/Brontok.X@mm、W32.Rontokbro.D@mmなどがあります。^[3]

起源

ブロントックはインドネシア原産です。^[1] 2005年に初めて発見されました。^[1]名称は、南アジアおよび東南アジア原産の鳥類であるエラン・ブロントックに由来します。「kangen.exe」（「kangen」自体は「誰か/何かを恋しく思う」という意味）というメールの添付ファイルとして届きます。

ウイルス/メール自体にはインドネシア語（および一部英語）のメッセージが含まれています。翻訳すると以下のようになります。

[投稿者: HVM31 JowoBot #VMコミュニティ] -- この国の崩壊を止めよう—1. チンピラ、密輸業者、賄賂業者、ギャンブラー、麻薬を摘発せよ港（「ヌサカンバンガン」に送信） --2.フリーセックス、中絶、売春を止めよう（地獄に落ちろ）3. 海や川の汚染、森林の焼却、野生の狩猟をやめる。4.薬物にノーと言おう!!! - 終わりは近い -5. あなたは自分が賢いと思いますか?インスピレーション源: 絶滅の危機に瀕しているSpizaetus Cirrhatus [By: HVM31 JowoBot #VM Communityunity -- ^[4]

JavaScript ポップアップも含まれています。

このワームは、 Israel.gov.ilとplayboy.comという2つのウェブサイトに対してpingフラッド攻撃を実行しました。これはハクティビズム行為とみられます。.com TLDを持つ他の多くのウェブサイトも攻撃を受け、インドネシアの人気フォーラムKaskusは2012年5月までに .us TLDに移行しました。Brontokは、2009年7月にインターネットカフェを攻撃したDaprosyワームなど、より永続的なトロイの木馬/ワームの作成に影響を与えました。

症状

Brontok が初めて実行されると、ユーザーのアプリケーションデータディレクトリに自身をコピーします。その後、レジストリキーにレジストリエントリを作成し、Windowsと同時に起動するように設定し、 Windows レジストリエディタ ( regedit.exe ) を無効化します。また、Windows エクスプローラの設定を変更します。ツールメニューの「フォルダオプション」オプションを削除することで、隠蔽されたファイルにユーザーが容易にアクセスできないようにします。さらに、Windows ファイアウォールも無効化します。一部の亜種では、ウィンドウタイトルに特定の文字列 (「アプリケーションデータ」など) が含まれているウィンドウが検出されると、コンピュータが再起動します。Windows エクスプローラに入力したアドレスが完了前に空白にされると、ユーザーはイライラします。独自のメール送信エンジンを使用して、コンピュータ上で検出されたメールアドレスに自身を送信します。送信元としてユーザーのメールアドレスを偽装する場合もあります。HKLM\Software\Microsoft\Windows\CurrentVersion\Run

また、 Windowsコマンドプロンプトを開こうとするとコンピューターが再起動し、ファイルのダウンロードを妨げます。さらに、デフォルトのWebブラウザがポップアップ表示され、「マイピクチャ」（ Windows Vistaの場合は「ピクチャ」）フォルダにあるWebページ（HTML ）が読み込まれます。通常、フォルダ名と同じ名前のフォルダ（..\documents\documents.exe）に.exeファイルが作成され、マップされているすべてのネットワークドライブもこれに含まれます。^[5]

除去

ウイルス対策プロバイダーからはさまざまなスタンドアロンツールが提供されていますが、Brontok はほとんどのウイルス対策ソフトウェアで削除できます。

参考文献

^ abc Yuliansyah (2010)、Mengembalikan Data yang Hilang Akibat Virus (インドネシア語)、Penerbit Mediakom、p. 10、ISBN 978-979-8771-03-3
^ 「Kasperskyの脅威 — Brontok」. threats.kaspersky.com . 2022年5月21日時点のオリジナルよりアーカイブ。2022年9月2日閲覧。
^ “Worm:Win32/Brontok.AR@mm”. Microsoft. 2014年3月5日時点のオリジナルよりアーカイブ。2013年2月14日閲覧。
^ “Win32.Brontok.A@mm”. Bitdefender. 2013年4月19日時点のオリジナルよりアーカイブ。2013年2月14日閲覧。
^ “Win32/Brontok”. Microsoft. 2013年2月9日時点のオリジナルよりアーカイブ。2013年2月14日閲覧。

[Yuliansyah-1] Yuliansyah (2010)、Mengembalikan Data yang Hilang Akibat Virus (インドネシア語)、Penerbit Mediakom、p. 10、ISBN 978-979-8771-03-3

[2] 「Kasperskyの脅威 — Brontok」. threats.kaspersky.com . 2022年5月21日時点のオリジナルよりアーカイブ。2022年9月2日閲覧。

[3] “Worm:Win32/Brontok.AR@mm”. Microsoft. 2014年3月5日時点のオリジナルよりアーカイブ。2013年2月14日閲覧。

[4] “Win32.Brontok.A@mm”. Bitdefender. 2013年4月19日時点のオリジナルよりアーカイブ。2013年2月14日閲覧。

[5] “Win32/Brontok”. Microsoft. 2013年2月9日時点のオリジナルよりアーカイブ。2013年2月14日閲覧。