该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并 添计划任务、更改文件执行映射、使用"文件夹"图标欺骗等手段,保来自证病毒体运行。当病毒 运奏船者新师青村行时,检查是否有不利于病毒的程序存在,如有则重新启动计算机。
- 中文名称 布朗克变种
- 外文名称 Email-Worm.Win32.Brontok.q
- 公开范围 完全公开
- 危害等级 5
基本信息
病毒名称: Email-Worm.Win32.Brontok.q
中文名称: 布朗克变种
病毒类型: 病毒类型文件 MD5: 41BC917A697AB13ECB4C97496300080B
公开范围: 完全公开
立试早写 危害等级: 5
文件长度: 脱壳前 45,417 字节,脱壳后273,408 字节
感染系统: Win9X以上系统
开发工具: Microso来自ft Visual Basic 5.0 / 6.0
加壳工具: MEW 针认燃粮怀线却此协当陆11 1.2 -> North360百科Fox/HCC
命名对照: Symantec [W32.Rontokbro@mm]
Avast![ Win32:Brontok-I]
Soph测种关责食手值减os [W32/Korbo-B ]
DrWeb[BackDoor.Generic.1138]
McAfee[W32/Rontokbro.gen@MM]
FRISK [W32/Brontok.C@mm]
病毒描述
该病毒运行后,衍生病毒效备星粒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并
添计划任务、更改文件执行映射、使用"文件夹"图标欺骗等手段,保证病毒体运行。当病毒
运行时,检查是否有不利于病毒的程序存在,如有则重新启动计算机。病毒会禁用注册表,关
闭"文件夹选项",去掉查看隐藏文件设置。解搜索本地 E-mail地址发送病毒副本传播。此病毒
并不会一次性释放完所有的病毒行为,所以会因为感染的不同程度,感染后的效果也价福周士用承刑第刚不一样。
行为分析
衍生下列副本与文
%Documents and Settings%\ 当用用户名 \Templates\6876-NendangBro
%Do牛新生米职宁们始为cuments and Settings%\ 当前用户名 \Application Data\csrss.深日能凯划长exe
%Documents and Settings%\ 当前用户名 \Application Data\inetinfo.exe
%Documents and Settings%\ 当前用户名 \Application Data\ListHost14.txt
%Documents and Se能娘ttings%\ 当前用户名 \Application Data\lsass.exe
%Docume阳绍班地nts and Settings%\ 当前用户名 \Application Data\serv密右善ices.exe
%Documents and Settings%\ 当前用户名 \Applica斤使tion Data\smss.exe
%Documents and Settings%\ 当前用户名 \Application Data\svchost.exe
%Docu来自ments and Settings%\ 当前用户名 \Application Data\br4347on.exe
%Documents and Settings%\ 当前用户名 \App便规着电者翻信固lication Data\Bron.tok-17-24\
%Documents and Settings\ 当前用户名 \ 「开始」菜单 \ 程序 \ 启动 \ Empty.pif
%WinDir%\Ke服联致映senjanganSosial.exe
%System32%\ antiy's Setting.scr
%Sys善程兰种去格正我抗烈怎tem32%\ cmd-brontok.exe
%WinDir%\ShellNew\Raky360百科atKelaparan.exe
新建注册表键值
HKEY_LOCAL_MACHINE令客留极布\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""
HKEY_CURRENT_USER收婷\Software\Micr常考很频随析完钢osoft\Windows\CurrentVersion\
Run\Tok-Cirr今入东烈最设参免束hatus-1662
如当有Value: String: ""%Documents and Sett客富考皮互ings%\ 当前用户名 \
Local S我容九皮观ettings\Applic弱倍宣游笑兰广妈企ation Data\br4347on.exe""
修改下列注册表键值
\Documents and 述帝话静轻技Settings\ 当前用户名 \ 「开始」菜单 \ 程序 \ 启动 \ Empty.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDdir%\KesenjanganSosial.exe""
Old:String:"Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell
New: String: "cmd-brontok.exe"
Old: String: "cmd.exe"
添加多个执行病毒副本的计划任务
名称为 At1 、 At2 、依次排列:
名称 : At1
执行路径: "%Documents and Settings\ 当用的用户名 \
Templates\"
执行时间:每天的 17:08 或 11.03
检索下列文件夹中邮件地信息
my ebooks
my data sources
my music
my pictures
my shapes
my documentes
6 、邮件地址从包含下列字符串的文件中获得:
.html .htm .txt .eml .wab .asp .php .cfm .csv .doc .pdf .xls .ppt .htt
7 、感染即插式存储器,遍历存储器内所有目录,以目录名命名病毒副本,复制副本到每个
目录下,包括根目录,并在存储器根目录上生成 Atuorun.inf 文件,以实现用户双击盘
符时运行病毒体。
8 、访问下列服务器地址:
www.n*t4f(6*.2*.1*4.*1)
www.*p*q*.com(6*.2*.7.1*6)
www.l*r*c*b*ok.(6*.2*.*.1*6)
www.2*m*w*b.c(6*.2*.1*4.*1)/ nodoc/
www.2*m*w*b.(6*.2*.1*4.*1)/ News/cmbrosji1/IN17.css
9 、在根目录下创建 about.brontok.a.html ,不定时会弹出:
创建 kosong.bron.tok.txt, 内容为:
Brontok.a
By: hvm31
-- jowobot #vm community --
10 、发送带有病毒副本附件的邮件,附件名从病毒建立的 !submit 目录下随机选取,如:
winword.exe
xpshare.exe
11 、可能会修改 host 文件,以阻止用户或用户程序访问安全类网站。
12 、病毒会检查程序窗口标题,如含有下列字符串,则重启计算机:
. ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN ALERT
ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST
AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER
CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL
CRACK DARK DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD
ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALL FOO@ FUCK FUJITSU
GATEWAY GOOGLE GRISOFT GROUP HACK HAURI HIDDEN HP. IBM.
INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS LOTUS MACRO
MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL NETSCAPE
NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA
OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT
PROXY RECIPIENT REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT
HOST SEARCH R SECURE SECURITY SEKUR SENIOR SERVER SERVICE
SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE SPAM SPERSKY
SUN. SUPPORT SYBARI SYMANTEC SYSTEM CONFIGURATION TEST TREND
TRUST UPDATE UTILITY VAKSIN VIRUS W3. WINDOWS SECURITY. VBS
WWW XEROX XXX YOUR ZDNET ZEND ZOMBIE
注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装
路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用安天木马防线断开网络,结束病毒进程:
%Documents and Settings%\ 当用的用户名 \
Templates\
%Documents and Settings%\ 当前用户名 \
Application Data\csrss.exe
%Documents and Settings%\ 当前用户名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 当前用户名 \
Application Data\ListHost14.txt
%Documents and Settings%\ 当前用户名 \
Application Data\lsass.exe
%Documents and Settings%\ 当前用户名 \
Application Data\services.exe
%Documents and Settings%\ 当前用户名 \
Application Data\smss.exe
%Documents and Settings%\ 当前用户名 \
Application Data\svchost.exe
%Documents and Settings%\ 当前用户名 \
Application Data\br4347on.ex
(2) 在"运行"中输入 gpedit.msc ,打开"组策略",将下列项
设置为"禁用" 。
1)、用户配置 = 》管理模板 = 》 Windows 资源管理器 = 》
从"工具"菜单中删除"文件夹选项"菜单
2)、用户配置 = 》管理模板 = 》系统 = 》阻止访问注册表编辑工具
3)、用户配置 = 》管理模板 = 》系统 = 》阻止访问命令提示符
(3) 删除下列注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\ Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Tok-Cirrhatus-1662
Value: String: ""%Documents and Settings%\
当前用户名 \Local Settings\Application ata\br4347on.exe""
(4) 恢复下列注册表键值为旧值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\AlternateShell
New: String: "cmd-brontok.exe"
Old: String: "cmd.exe"
(5) 删除病毒释放文件:
%Documents and Settings%\ 当用的用户名 \
Templates\ %Documents and Settings%\ 当前用户名 \
Application Data\csrss.exe
%Documents and Settings%\ 当前用户名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 当前用户名 \
Application Data\ListHost14.txt
%Documents and Settings%\ 当前用户名 \
Application Data\lsass.exe
%Documents and Settings%\ 当前用户名 \
Application Data\services.exe
%Documents and Settings%\ 当前用户名 \
Application Data\smss.exe
%Documents and Settings%\ 当前用户名 \
Application Data\svchost.exe
%Documents and Settings%\ 当前用户名 \
Application Data\br4347on.exe
%Documents and Settings%\ 当前用户名 \
Application Data\Bron.tok-17-24\
%Documents and Settings\ 当前用户名 \
「开始」菜单 \ 程序 \ 启动 \ Empty.pif
%WinDir%\KesenjanganSosial.exe
%System32%\ antiy's Setting.scr
%System32%\ cmd-brontok.exe
%WinDir%\ShellNew\RakyatKelaparan.exe
(6) 删除病毒添加的计划任务。
(7) 建议用安天木马防线全描扫描所有磁盘。
