词条 | Email-Worm.Win32.Brontok.c |
释义 | 该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并添计划任务、启动项目以保证启动病毒副本。病毒修改注册表以达到禁用“注册表”、“文件夹选项”的目的。发送带有病毒副本的邮件到搜索到的 Email地址。 简介病毒名称: Email-Worm.Win32.Brontok.c 中文名称: 布朗克变种 病毒类型: 蠕虫类 文件 MD5: 3E8506FFDDE89B31580043CB814F1578 公开范围: 完全公开 危害等级: 5 文件长度222,720 字节 感染系统Win9X以上系统 开发工具Microsoft Visual Basic 5.0 / 6.0 命名对照BitDefender [Generic.Brontok.26297BBD]NOD32[Win32/Brontok] Avast![ Win32:Brontok-I] AVG[ Virus identified I-Worm/Brontok.C] DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM] 行为分析1 、衍生下列副本与文件: %Documents and Settings%\\ 当前用户名 \\Templates\\Brengkolang %Documents and Settings%\\ 当前用户名 \\Application Data\\csrss.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\ListHost14.txt %Documents and Settings%\\ 当前用户名 \\Application Data\\lsass.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\services.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\smss.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\Update.14.Bron.Tok.bin %Documents and Settings%\\ 当前用户名 \\Application Data\\Update.14.Bron.Tok.bin %Documents and Settings%\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif %WinDir%\\ShellNew\\sempalong.exe %WinDir%\\BerasJatah.exe %WinDir%\\System32\\antiy's Setting.scr 2 、新建注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Run\\Bron-Spizaetus Value: String: ""%WINDOWS%\\ShellNew\\sempalong.exe"" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Tok-Cirrhatus Value: String: ""%Documents and Settings\\ 当前用户名 \\Local Settings\\ ApplicationData\\smss.exe"" 3 、修改下列注册表键值: \\Documents and Settings\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\\Shell New: String: "Explorer.exe "%WINDOWS%\\BerasJatah.exe"" Old: String: "Explorer.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Hidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\HideFileExt New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\ShowSuperHidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) 4 、添加一个执行病毒副本的计划任务: 名称 : At1 执行路径: "%Documents and Settings\\ 当用的用户名 \\ 执行时间:每天的 17:08 5 、发送带有病毒附件的空标题邮件,邮件内容为 ; -- Hentikan kebobrokan di negeri ini -- 1). Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA ( Send to "NUSAKAMBANGAN") 2). Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL ) 3). Stop pencemaran lingkungan, pembakaran hutan & perburuan liar. 4). SAY NO TO DRUGS !!! -- KIAMAT SUDAH DEKAT -- Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah By: HVM31 -- JowoBot #VM Community -- !!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!! 6 、邮件地址从包含下列字符串的文件中获得: 7 、发送 ping 包,对 KASKUS ( 6*.2*2.1*9.1*0 )进行 ICMP 泛洪攻击。 8 、从下列地址下载 TXT 文件: ( 6*.2*8.7*.6* ) /sblsji1/IN14SDSDWWHOX.txt 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: %Documents and Settings%\\ 当前用户名 \\ Application Data\\csrss.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\inetinfo.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\lsass.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\services.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\smss.exe (2) 在“运行”中输入 gpedit.msc ,打开“组策略”,将下列项设置为 “禁用”: 1)、用户配置->管理模板->Windows 资源管理器-> 从“工具”菜单中删除“文件夹选项”菜单 2)、用户配置->管理模板->系统->阻止访问注册表编辑工具 3)、用户配置->管理模板->系统->阻止访问命令提示符 (3) 删除下列注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\Bron-Spizaetus Value: String: ""%WINDOWS%\\ShellNew\\sempalong.exe"" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\Tok-Cirrhatus Value: String: ""%Documents and Settings\\ 当前用户名 \\ Local Settings\\Application Data\\smss.exe"" (4) 恢复下列注册表键值为旧值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\ CurrentVersion\\Winlogon\\Shell New: String: "Explorer.exe "%WINDOWS%\\BerasJatah.exe"" Old: String: "Explorer.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Advanced\\Hidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Advanced\\HideFileExt New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) (5) 删除病毒释放文件: %Documents and Settings%\\ 当前用户名 \\ Application Data\\smss.exe %Documents and Settings%\\ 当前用户名 \\ Templates\\ %Documents and Settings%\\ 当前用户名 \\ Application Data\\csrss.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\inetinfo.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\ListHost14.txt %Documents and Settings%\\ 当前用户名 \\ Application Data\\lsass.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\services.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\smss.exe %Documents and Settings%\\ 当前用户名 \\ ApplicationData\\Update.14.Bron.Tok.bin %Documents and Settings%\\ 当前用户名 \\ ApplicationData\\Update.14.Bron.Tok.bin %Documents and Settings\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif %WinDir%\\ShellNew\\sempalong.exe %WinDir%\\BerasJatah.exe %WinDir%\\tl32v20.dll %WinDir%\\System32\\antiy's Setting.scr |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。