Email-Worm.Win32.Brontok.c
病毒名称: Email-Worm.Win32.Brontok.c
中文名称: 布朗克变种
病毒类型: 蠕虫类
文件 MD5: 3E8506FFDDE89B31580043CB814F1578
公开范围: 完全公开
危害等级: 5
文件长度: 222,720 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual Basic 5.0 / 6.0
命名对照: BitDefender [Generic.Brontok.26297BBD]NOD32[Win32/Brontok.CV]
Avast![ Win32:Brontok-I] AVG[ Virus identified I-Worm/Brontok.C]
DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM]
病毒描述:
该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并添计划任务、启动项目以保证启动病毒副本。病毒修改注册表以达到禁用“注册表”、“文件夹选项”的目的。发送带有病毒副本的邮件到搜索到的 Email地址。
行为分析:
1 、衍生下列副本与文件:
%Documents and Settings% 当前用户名 TemplatesBrengkolang.com
%Documents and Settings% 当前用户名 Application Datacsrss.exe
%Documents and Settings% 当前用户名 Application DataListHost14.txt
%Documents and Settings% 当前用户名 Application Datalsass.exe
%Documents and Settings% 当前用户名 Application Dataservices.exe
%Documents and Settings% 当前用户名 Application Datasmss.exe
%Documents and Settings% 当前用户名 Application DataUpdate.14.Bron.Tok.bin
%Documents and Settings% 当前用户名 Application DataUpdate.14.Bron.Tok.bin
%Documents and Settings% 当前用户名 「开始」菜单 程序 启动 Empty.pif
%WinDir%ShellNewsempalong.exe
%WinDir%BerasJatah.exe
%WinDir%System32antiy's Setting.scr
2 、新建注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunBron-Spizaetus
Value: String: ""%WINDOWS%ShellNewsempalong.exe""
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunTok-Cirrhatus
Value: String: ""%Documents and Settings 当前用户名 Local Settings
ApplicationDatasmss.exe""
3 、修改下列注册表键值:
Documents and Settings 当前用户名 「开始」菜单 程序 启动 Empty.pif
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell
New: String: "Explorer.exe "%WINDOWS%BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
AdvancedHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
AdvancedHideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
AdvancedShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
4 、添加一个执行病毒副本的计划任务:
名称 : At1
执行路径: "%Documents and Settings 当用的用户名 TemplatesBrengkolang.com"
执行时间:每天的 17:08
5 、发送带有病毒附件的空标题邮件,邮件内容为 ;
-- Hentikan kebobrokan di negeri ini --
1). Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2). Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL )
3). Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4). SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
By: HVM31 -- JowoBot #VM Community --
!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!
6 、邮件地址从包含下列字符串的文件中获得:
PLASA,TELKOM,INDO,.CO.ID,.GO.ID,.MIL.ID,.SCH.ID,.NET.ID,
.OR.ID,.AC.ID,.WEB.ID,.WAR.NET.ID,ASTAGA,GAUL
7 、发送 ping 包,对 KASKUS.com ( 6*.2*2.1*9.1*0 )进行 ICMP 泛洪攻击。
8 、从下列地址下载 TXT 文件:
www.g*oc*ti*s.com ( 6*.2*8.7*.6* ) /sblsji1/IN14SDSDWWHOX.txt
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 , windows95/98/me 中默认的安装路径是 C:WindowsSystem , windowsXP 中默认的安装路径是 C:WindowsSystem32 。
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线断开网络,结束病毒进程:
%Documents and Settings% 当前用户名
Application Datacsrss.exe
%Documents and Settings% 当前用户名
Application Datainetinfo.exe
%Documents and Settings% 当前用户名
Application Datalsass.exe
%Documents and Settings% 当前用户名
Application Dataservices.exe
%Documents and Settings% 当前用户名
Application Datasmss.exe
(2) 在“运行”中输入 gpedit.msc ,打开“组策略”,将下列项设置为
“禁用”:
1)、用户配置->管理模板->Windows 资源管理器->
从“工具”菜单中删除“文件夹选项”菜单
2)、用户配置->管理模板->系统->阻止访问注册表编辑工具
3)、用户配置->管理模板->系统->阻止访问命令提示符
(3) 删除下列注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunBron-Spizaetus
Value: String: ""%WINDOWS%ShellNewsempalong.exe""
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunTok-Cirrhatus
Value: String: ""%Documents and Settings 当前用户名
Local SettingsApplication Datasmss.exe""
(4) 恢复下列注册表键值为旧值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT
CurrentVersionWinlogonShell
New: String: "Explorer.exe "%WINDOWS%BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedHideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerAdvancedShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
(5) 删除病毒释放文件:
%Documents and Settings% 当前用户名
Application Datasmss.exe
%Documents and Settings% 当前用户名
TemplatesBrengkolang.com
%Documents and Settings% 当前用户名
Application Datacsrss.exe
%Documents and Settings% 当前用户名
Application Datainetinfo.exe
%Documents and Settings% 当前用户名
Application DataListHost14.txt
%Documents and Settings% 当前用户名
Application Datalsass.exe
%Documents and Settings% 当前用户名
Application Dataservices.exe
%Documents and Settings% 当前用户名
Application Datasmss.exe
%Documents and Settings% 当前用户名
ApplicationDataUpdate.14.Bron.Tok.bin
%Documents and Settings% 当前用户名
ApplicationDataUpdate.14.Bron.Tok.bin
%Documents and Settings 当前用户名
「开始」菜单 程序 启动 Empty.pif
%WinDir%ShellNewsempalong.exe
%WinDir%BerasJatah.exe
%WinDir%l32v20.dll
%WinDir%System32antiy's Setting.scr