| 词条 | Email-Worm.Win32.Brontok.q |
| 释义 | 该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并 添计划任务、更改文件执行映射、使用“文件夹”图标欺骗等手段,保证病毒体运行。当病毒 运行时,检查是否有不利于病毒的程序存在,如有则重新启动计算机。 基本信息病毒名称: Email-Worm.Win32.Brontok.q 中文名称: 布朗克变种 病毒类型: 蠕虫类 文件 MD5: 41BC917A697AB13ECB4C97496300080B 公开范围: 完全公开 危害等级: 5 文件长度: 脱壳前 45,417 字节,脱壳后273,408 字节 感染系统: Win9X以上系统 开发工具: Microsoft Visual Basic 5.0 / 6.0 加壳工具: MEW 11 1.2 -> NorthFox/HCC 命名对照: Symantec [W32.Rontokbro@mm] Avast![ Win32:Brontok-I] Sophos [W32/Korbo-B ] DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM] FRISK [W32/Brontok.C@mm] 病毒描述该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并 添计划任务、更改文件执行映射、使用“文件夹”图标欺骗等手段,保证病毒体运行。当病毒 运行时,检查是否有不利于病毒的程序存在,如有则重新启动计算机。病毒会禁用注册表,关 闭“文件夹选项”,去掉查看隐藏文件设置。搜索本地 E-mail地址发送病毒副本传播。此病毒 并不会一次性释放完所有的病毒行为,所以会因为感染的不同程度,感染后的效果也不一样。 行为分析衍生下列副本与文%Documents and Settings%\\ 当用用户名 \\Templates\\6876-NendangBro %Documents and Settings%\\ 当前用户名 \\Application Data\\csrss.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\inetinfo.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\ListHost14.txt %Documents and Settings%\\ 当前用户名 \\Application Data\\lsass.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\services.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\smss.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\svchost.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\br4347on.exe %Documents and Settings%\\ 当前用户名 \\Application Data\\Bron.tok-17-24\\ %Documents and Settings\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif %WinDir%\\KesenjanganSosial.exe %System32%\\ antiy's Setting.scr %System32%\\ cmd-brontok.exe %WinDir%\\ShellNew\\RakyatKelaparan.exe 新建注册表键值HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Run\\Bron-Spizaetus Value: String: ""%WINDOWS%\\ShellNew\\RakyatKelaparan.exe"" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Run\\Tok-Cirrhatus-1662 Value: String: ""%Documents and Settings%\\ 当前用户名 \\ Local Settings\\Application Data\\br4347on.exe"" 修改下列注册表键值\\Documents and Settings\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\ CurrentVersion\\Winlogon\\Shell New: String: "Explorer.exe "%WINDdir%\\KesenjanganSosial.exe"" Old:String:"Explorer.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced\\Hidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced\\HideFileExt New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced\\ShowSuperHidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\SafeBoot\\AlternateShell New: String: "cmd-brontok.exe" Old: String: "cmd.exe" 添加多个执行病毒副本的计划任务名称为 At1 、 At2 、依次排列: 名称 : At1 执行路径: "%Documents and Settings\\ 当用的用户名 \\ Templates\\" 执行时间:每天的 17:08 或 11.03 检索下列文件夹中邮件地信息my ebooks my data sources my music my pictures my shapes my documentes 6 、邮件地址从包含下列字符串的文件中获得: .html .htm .txt .eml .wab .asp .php .cfm .csv .doc .pdf .xls .ppt .htt 7 、感染即插式存储器,遍历存储器内所有目录,以目录名命名病毒副本,复制副本到每个 目录下,包括根目录,并在存储器根目录上生成 Atuorun.inf 文件,以实现用户双击盘 符时运行病毒体。 8 、访问下列服务器地址: www.n*t4f(6*.2*.1*4.*1) www.*p*q*.com(6*.2*.7.1*6) www.l*r*c*b*ok.(6*.2*.*.1*6) www.2*m*w*b.c(6*.2*.1*4.*1)/ nodoc/ www.2*m*w*b.(6*.2*.1*4.*1)/ News/cmbrosji1/IN17.css 9 、在根目录下创建 about.brontok.a.html ,不定时会弹出: 创建 kosong.bron.tok.txt, 内容为: Brontok.a By: hvm31 -- jowobot #vm community -- 10 、发送带有病毒副本附件的邮件,附件名从病毒建立的 !submit 目录下随机选取,如: winword.exe xpshare.exe 11 、可能会修改 host 文件,以阻止用户或用户程序访问安全类网站。 12 、病毒会检查程序窗口标题,如含有下列字符串,则重启计算机: . ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN ALERT ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL CRACK DARK DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALL FOO@ FUCK FUJITSU GATEWAY GOOGLE GRISOFT GROUP HACK HAURI HIDDEN HP. IBM. INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS LOTUS MACRO MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL NETSCAPE NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT PROXY RECIPIENT REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT HOST SEARCH R SECURE SECURITY SEKUR SENIOR SERVER SERVICE SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE SPAM SPERSKY SUN. SUPPORT SYBARI SYMANTEC SYSTEM CONFIGURATION TEST TREND TRUST UPDATE UTILITY VAKSIN VIRUS W3. WINDOWS SECURITY. VBS WWW XEROX XXX YOUR ZDNET ZEND ZOMBIE 注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\\Winnt\\System32 , windows95/98/me 中默认的安装 路径是 C:\\Windows\\System , windowsXP 中默认的安装路径是 C:\\Windows\\System32 。 清除方案: 1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 ) 2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 使用安天木马防线断开网络,结束病毒进程: %Documents and Settings%\\ 当用的用户名 \\ Templates\\ %Documents and Settings%\\ 当前用户名 \\ Application Data\\csrss.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\inetinfo.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\ListHost14.txt %Documents and Settings%\\ 当前用户名 \\ Application Data\\lsass.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\services.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\smss.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\svchost.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\br4347on.ex (2) 在“运行”中输入 gpedit.msc ,打开“组策略”,将下列项 设置为“禁用” 。 1)、用户配置 = 》管理模板 = 》 Windows 资源管理器 = 》 从“工具”菜单中删除“文件夹选项”菜单 2)、用户配置 = 》管理模板 = 》系统 = 》阻止访问注册表编辑工具 3)、用户配置 = 》管理模板 = 》系统 = 》阻止访问命令提示符 (3) 删除下列注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\ Bron-Spizaetus Value: String: ""%WINDOWS%\\ShellNew\\RakyatKelaparan.exe"" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run\\Tok-Cirrhatus-1662 Value: String: ""%Documents and Settings%\\ 当前用户名 \\Local Settings\\Application ata\\br4347on.exe"" (4) 恢复下列注册表键值为旧值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\ CurrentVersion\\Winlogon\\Shell New: String: "Explorer.exe "%WINDOWS%\\BerasJatah.exe"" Old: String: "Explorer.exe" HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Advanced\\Hidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Advanced\\HideFileExt New: DWORD: 1 (0x1) Old: DWORD: 0 (0) HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden New: DWORD: 0 (0) Old: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\ Control\\SafeBoot\\AlternateShell New: String: "cmd-brontok.exe" Old: String: "cmd.exe" (5) 删除病毒释放文件: %Documents and Settings%\\ 当用的用户名 \\ Templates\\ %Documents and Settings%\\ 当前用户名 \\ Application Data\\csrss.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\inetinfo.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\ListHost14.txt %Documents and Settings%\\ 当前用户名 \\ Application Data\\lsass.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\services.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\smss.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\svchost.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\br4347on.exe %Documents and Settings%\\ 当前用户名 \\ Application Data\\Bron.tok-17-24\\ %Documents and Settings\\ 当前用户名 \\ 「开始」菜单 \\ 程序 \\ 启动 \\ Empty.pif %WinDir%\\KesenjanganSosial.exe %System32%\\ antiy's Setting.scr %System32%\\ cmd-brontok.exe %WinDir%\\ShellNew\\RakyatKelaparan.exe (6) 删除病毒添加的计划任务。 (7) 建议用安天木马防线全描扫描所有磁盘。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。