Email-Worm.Win32.Brontok.c

病毒名称： Email-Worm.Win32.Brontok.c

中文名称： 布朗克变种

病毒类型： 蠕虫类

文件 MD5： 3E8506FFDDE89B31580043CB814F1578

公开范围： 完全公开

危害等级： 5

文件长度： 222,720 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

命名对照： BitDefender [Generic.Brontok.26297BBD]NOD32[Win32/Brontok.CV]

Avast![ Win32:Brontok-I] AVG[ Virus identified I-Worm/Brontok.C]

DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM]

病毒描述：

该病毒运行后，衍生病毒文件到多个目录下，添加注册表随机运行项以跟随系统启动。并添计划任务、启动项目以保证启动病毒副本。病毒修改注册表以达到禁用“注册表”、“文件夹选项”的目的。发送带有病毒副本的邮件到搜索到的 Email地址。

行为分析：

1 、衍生下列副本与文件：

%Documents and Settings% 当前用户名 TemplatesBrengkolang.com

%Documents and Settings% 当前用户名 Application Datacsrss.exe

%Documents and Settings% 当前用户名 Application DataListHost14.txt

%Documents and Settings% 当前用户名 Application Datalsass.exe

%Documents and Settings% 当前用户名 Application Dataservices.exe

%Documents and Settings% 当前用户名 Application Datasmss.exe

%Documents and Settings% 当前用户名 Application DataUpdate.14.Bron.Tok.bin

%Documents and Settings% 当前用户名 Application DataUpdate.14.Bron.Tok.bin

%Documents and Settings% 当前用户名 「开始」菜单 程序 启动 Empty.pif

%WinDir%ShellNewsempalong.exe

%WinDir%BerasJatah.exe

%WinDir%System32antiy's Setting.scr

2 、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunBron-Spizaetus

Value: String: ""%WINDOWS%ShellNewsempalong.exe""

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunTok-Cirrhatus

Value: String: ""%Documents and Settings 当前用户名 Local Settings

ApplicationDatasmss.exe""

3 、修改下列注册表键值：

Documents and Settings 当前用户名 「开始」菜单 程序 启动 Empty.pif

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell

New: String: "Explorer.exe "%WINDOWS%BerasJatah.exe""

Old: String: "Explorer.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

AdvancedHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

AdvancedHideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer

AdvancedShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

4 、添加一个执行病毒副本的计划任务：

名称 : At1

执行路径： "%Documents and Settings 当用的用户名 TemplatesBrengkolang.com"

执行时间：每天的 17:08

5 、发送带有病毒附件的空标题邮件，邮件内容为 ;

-- Hentikan kebobrokan di negeri ini --

1). Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA

( Send to "NUSAKAMBANGAN")

2). Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL )

3). Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.

4). SAY NO TO DRUGS !!!

-- KIAMAT SUDAH DEKAT --

Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah

By: HVM31 -- JowoBot #VM Community --

!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!

6 、邮件地址从包含下列字符串的文件中获得：

PLASA,TELKOM,INDO,.CO.ID,.GO.ID,.MIL.ID,.SCH.ID,.NET.ID,

.OR.ID,.AC.ID,.WEB.ID,.WAR.NET.ID,ASTAGA,GAUL

7 、发送 ping 包，对 KASKUS.com （ 6*.2*2.1*9.1*0 ）进行 ICMP 泛洪攻击。

8 、从下列地址下载 TXT 文件：

www.g*oc*ti*s.com （ 6*.2*8.7*.6* ） /sblsji1/IN14SDSDWWHOX.txt

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

%Documents and Settings% 当前用户名

Application Datacsrss.exe

%Documents and Settings% 当前用户名

Application Datainetinfo.exe

%Documents and Settings% 当前用户名

Application Datalsass.exe

%Documents and Settings% 当前用户名

Application Dataservices.exe

%Documents and Settings% 当前用户名

Application Datasmss.exe

(2) 在“运行”中输入 gpedit.msc ，打开“组策略”，将下列项设置为

“禁用”：

1)、用户配置->管理模板->Windows 资源管理器->

从“工具”菜单中删除“文件夹选项”菜单

2)、用户配置->管理模板->系统->阻止访问注册表编辑工具

3)、用户配置->管理模板->系统->阻止访问命令提示符

(3) 删除下列注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRunBron-Spizaetus

Value: String: ""%WINDOWS%ShellNewsempalong.exe""

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunTok-Cirrhatus

Value: String: ""%Documents and Settings 当前用户名

Local SettingsApplication Datasmss.exe""

(4) 恢复下列注册表键值为旧值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT

CurrentVersionWinlogonShell

New: String: "Explorer.exe "%WINDOWS%BerasJatah.exe""

Old: String: "Explorer.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerAdvancedHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerAdvancedHideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerAdvancedShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

(5) 删除病毒释放文件：

%Documents and Settings% 当前用户名

Application Datasmss.exe

%Documents and Settings% 当前用户名

TemplatesBrengkolang.com

%Documents and Settings% 当前用户名

Application Datacsrss.exe

%Documents and Settings% 当前用户名

Application Datainetinfo.exe

%Documents and Settings% 当前用户名

Application DataListHost14.txt

%Documents and Settings% 当前用户名

Application Datalsass.exe

%Documents and Settings% 当前用户名

Application Dataservices.exe

%Documents and Settings% 当前用户名

Application Datasmss.exe

%Documents and Settings% 当前用户名

ApplicationDataUpdate.14.Bron.Tok.bin

%Documents and Settings% 当前用户名

ApplicationDataUpdate.14.Bron.Tok.bin

%Documents and Settings 当前用户名

「开始」菜单 程序 启动 Empty.pif

%WinDir%ShellNewsempalong.exe

%WinDir%BerasJatah.exe

%WinDir%l32v20.dll

%WinDir%System32antiy's Setting.scr