请输入您要查询的百科知识:

 

词条 Email-Worm.Win32.Brontok.c
释义

该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并添计划任务、启动项目以保证启动病毒副本。病毒修改注册表以达到禁用“注册表”、“文件夹选项”的目的。发送带有病毒副本的邮件到搜索到的 Email地址。

简介

病毒名称: Email-Worm.Win32.Brontok.c

中文名称: 布朗克变种

病毒类型: 蠕虫类

文件 MD5: 3E8506FFDDE89B31580043CB814F1578

公开范围: 完全公开

危害等级: 5

文件长度

222,720 字节

感染系统

Win9X以上系统

开发工具

Microsoft Visual Basic 5.0 / 6.0

命名对照

BitDefender [Generic.Brontok.26297BBD]NOD32[Win32/Brontok]

Avast![ Win32:Brontok-I] AVG[ Virus identified I-Worm/Brontok.C]

DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM]

行为分析

1 、衍生下列副本与文件:

%Documents and Settings%\\ 当前用户名 \\Templates\\Brengkolang

%Documents and Settings%\\ 当前用户名 \\Application Data\\csrss.exe

%Documents and Settings%\\ 当前用户名 \\Application Data\\ListHost14.txt

%Documents and Settings%\\ 当前用户名 \\Application Data\\lsass.exe

%Documents and Settings%\\ 当前用户名 \\Application Data\\services.exe

%Documents and Settings%\\ 当前用户名 \\Application Data\\smss.exe

%Documents and Settings%\\ 当前用户名 \\Application Data\\Update.14.Bron.Tok.bin

%Documents and Settings%\\ 当前用户名 \\Application Data\\Update.14.Bron.Tok.bin

%Documents and Settings%\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif

%WinDir%\\ShellNew\\sempalong.exe

%WinDir%\\BerasJatah.exe

%WinDir%\\System32\\antiy's Setting.scr

2 、新建注册表键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\

Run\\Bron-Spizaetus

Value: String: ""%WINDOWS%\\ShellNew\\sempalong.exe""

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Tok-Cirrhatus

Value: String: ""%Documents and Settings\\ 当前用户名 \\Local Settings\\

ApplicationData\\smss.exe""

3 、修改下列注册表键值:

\\Documents and Settings\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion\\Winlogon\\Shell

New: String: "Explorer.exe "%WINDOWS%\\BerasJatah.exe""

Old: String: "Explorer.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced\\Hidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced\\HideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\

Advanced\\ShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

4 、添加一个执行病毒副本的计划任务:

名称 : At1

执行路径: "%Documents and Settings\\ 当用的用户名 \\

执行时间:每天的 17:08

5 、发送带有病毒附件的空标题邮件,邮件内容为 ;

-- Hentikan kebobrokan di negeri ini --

1). Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA

( Send to "NUSAKAMBANGAN")

2). Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL )

3). Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

4). SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah

By: HVM31 -- JowoBot #VM Community --

!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

6 、邮件地址从包含下列字符串的文件中获得:

7 、发送 ping 包,对 KASKUS ( 6*.2*2.1*9.1*0 )进行 ICMP 泛洪攻击。

8 、从下列地址下载 TXT 文件:

( 6*.2*8.7*.6* ) /sblsji1/IN14SDSDWWHOX.txt

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。

清除方案

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线断开网络,结束病毒进程:

%Documents and Settings%\\ 当前用户名 \\

Application Data\\csrss.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\inetinfo.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\lsass.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\services.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\smss.exe

(2) 在“运行”中输入 gpedit.msc ,打开“组策略”,将下列项设置为

“禁用”:

1)、用户配置->管理模板->Windows 资源管理器->

从“工具”菜单中删除“文件夹选项”菜单

2)、用户配置->管理模板->系统->阻止访问注册表编辑工具

3)、用户配置->管理模板->系统->阻止访问命令提示符

(3) 删除下列注册表键值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\

CurrentVersion\\Run\\Bron-Spizaetus

Value: String: ""%WINDOWS%\\ShellNew\\sempalong.exe""

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Run\\Tok-Cirrhatus

Value: String: ""%Documents and Settings\\ 当前用户名 \\

Local Settings\\Application Data\\smss.exe""

(4) 恢复下列注册表键值为旧值:

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\

CurrentVersion\\Winlogon\\Shell

New: String: "Explorer.exe "%WINDOWS%\\BerasJatah.exe""

Old: String: "Explorer.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Explorer\\Advanced\\Hidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Explorer\\Advanced\\HideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\

CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

(5) 删除病毒释放文件:

%Documents and Settings%\\ 当前用户名 \\

Application Data\\smss.exe

%Documents and Settings%\\ 当前用户名 \\

Templates\\

%Documents and Settings%\\ 当前用户名 \\

Application Data\\csrss.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\inetinfo.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\ListHost14.txt

%Documents and Settings%\\ 当前用户名 \\

Application Data\\lsass.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\services.exe

%Documents and Settings%\\ 当前用户名 \\

Application Data\\smss.exe

%Documents and Settings%\\ 当前用户名 \\

ApplicationData\\Update.14.Bron.Tok.bin

%Documents and Settings%\\ 当前用户名 \\

ApplicationData\\Update.14.Bron.Tok.bin

%Documents and Settings\\ 当前用户名 \\

「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif

%WinDir%\\ShellNew\\sempalong.exe

%WinDir%\\BerasJatah.exe

%WinDir%\\tl32v20.dll

%WinDir%\\System32\\antiy's Setting.scr

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2025/3/14 19:06:06