基本信息
病毒名稱: Email-Worm.Win32.Brontok.q
中文名稱: 布朗克變種
病毒類型: 病毒類型檔案 MD5: 41BC917A697AB13ECB4C97496300080B
公開範圍: 完全公開
危害等級: 5
檔案長度: 脫殼前 45,417 位元組,脫殼後273,408 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
加殼工具: MEW 11 1.2 -> NorthFox/HCC
命名對照: Symantec [W32.Rontokbro@mm]
Avast![ Win32:Brontok-I]
Sophos [W32/Korbo-B ]
DrWeb[BackDoor.Generic.1138]
McAfee[W32/Rontokbro.gen@MM]
FRISK [W32/Brontok.C@mm]
病毒描述
該病毒運行後,衍生病毒檔案到多個目錄下,添加註冊表隨機運行項以跟隨系統啟動。並
添計畫任務、更改檔案執行映射、使用“資料夾”圖示欺騙等手段,保證病毒體運行。當病毒
運行時,檢查是否有不利於病毒的程式存在,如有則重新啟動計算機。病毒會禁用註冊表,關
閉“資料夾選項”,去掉查看隱藏檔案設定。搜尋本地 E-mail地址傳送病毒副本傳播。此病毒
並不會一次性釋放完所有的病毒行為,所以會因為感染的不同程度,感染後的效果也不一樣。
行為分析
衍生下列副本與文
%Documents and Settings%\ 當用用戶名 \Templates\6876-NendangBro
%Documents and Settings%\ 當前用戶名 \Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \Application Data\svchost.exe
%Documents and Settings%\ 當前用戶名 \Application Data\br4347on.exe
%Documents and Settings%\ 當前用戶名 \Application Data\Bron.tok-17-24\
%Documents and Settings\ 當前用戶名 \ 「開始」選單 \ 程式 \ 啟動 \ Empty.pif
%WinDir%\KesenjanganSosial.exe
%System32%\ antiy's Setting.scr
%System32%\ cmd-brontok.exe
%WinDir%\ShellNew\RakyatKelaparan.exe
新建註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Run\Tok-Cirrhatus-1662
Value: String: ""%Documents and Settings%\ 當前用戶名 \
Local Settings\Application Data\br4347on.exe""
修改下列註冊表鍵值
\Documents and Settings\ 當前用戶名 \ 「開始」選單 \ 程式 \ 啟動 \ Empty.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDdir%\KesenjanganSosial.exe""
Old:String:"Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell
New: String: "cmd-brontok.exe"
Old: String: "cmd.exe"
添加多個執行病毒副本的計畫任務
名稱為 At1 、 At2 、依次排列:
名稱 : At1
執行路徑: "%Documents and Settings\ 當用的用戶名 \
Templates\"
執行時間:每天的 17:08 或 11.03
檢索下列資料夾中郵件地信息
my ebooks
my data sources
my music
my pictures
my shapes
my documentes
6 、郵件地址從包含下列字元串的檔案中獲得:
.html .htm .txt .eml .wab .asp .php .cfm .csv .doc .pdf .xls .ppt .htt
7 、感染即插式存儲器,遍歷存儲器內所有目錄,以目錄名命名病毒副本,複製副本到每個
目錄下,包括根目錄,並在存儲器根目錄上生成 Atuorun.inf 檔案,以實現用戶雙擊盤
符時運行病毒體。
8 、訪問下列伺服器地址:
www.n*t4f(6*.2*.1*4.*1)
www.*p*q*.com(6*.2*.7.1*6)
www.l*r*c*b*ok.(6*.2*.*.1*6)
www.2*m*w*b.c(6*.2*.1*4.*1)/ nodoc/
www.2*m*w*b.(6*.2*.1*4.*1)/ News/cmbrosji1/IN17.css
9 、在根目錄下創建 about.brontok.a.html ,不定時會彈出:
創建 kosong.bron.tok.txt, 內容為:
Brontok.a
By: hvm31
-- jowobot #vm community --
10 、傳送帶有病毒副本附屬檔案的郵件,附屬檔案名從病毒建立的 !submit 目錄下隨機選取,如:
winword.exe
xpshare.exe
11 、可能會修改 host 檔案,以阻止用戶或用戶程式訪問安全類網站。
12 、病毒會檢查程式視窗標題,如含有下列字元串,則重啟計算機:
. ASP .EXE .HTM .JS .PHP ADMIN ADOBE AHNLAB ALADDIN ALERT
ALWIL ANTIGEN APACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST
AVG AVIRA BILLING@ BLACK BLAH BLEEP BUILDER CANON CENTER
CILLIN CISCO CMD. CNET COMMAND COMMAND PROMPT CONTOH CONTROL
CRACK DARK DATA DATABASE DEMO DETIK DEVELOP DOMAIN DOWNLOAD
ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALL FOO@ FUCK FUJITSU
GATEWAY GOOGLE GRISOFT GROUP HACK HAURI HIDDEN HP. IBM.
INFO@ INTEL. KOMPUTER LINUX LOG OFF WINDOWS LOTUS MACRO
MALWARE MASTER MCAFEE MICRO MICROSOFT MOZILLA MYSQL NETSCAPE
NETWORK NEWS NOD32 NOKIA NORMAN NORTON NOVELL NVIDIA OPERA
OVERTURE PANDA PATCH POSTGRE PROGRAM PROLAND PROMPT PROTECT
PROXY RECIPIENT REGISTRY RELAY RESPONSE ROBOT SCAN SCRIPT
HOST SEARCH R SECURE SECURITY SEKUR SENIOR SERVER SERVICE
SHUT DOWN SIEMENS SMTP SOFT SOME SOPHOS SOURCE SPAM SPERSKY
SUN. SUPPORT SYBARI SYMANTEC SYSTEM CONFIGURATION TEST TREND
TRUST UPDATE UTILITY VAKSIN VIRUS W3. WINDOWS SECURITY. VBS
WWW XEROX XXX YOUR ZDNET ZEND ZOMBIE
註: % System% 是一個可變路徑。病毒通過查詢作業系統來決定當前 System 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝
路徑是 C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用安天木馬防線斷開網路,結束病毒進程:
%Documents and Settings%\ 當用的用戶名 \
Templates\
%Documents and Settings%\ 當前用戶名 \
Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \
Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\svchost.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\br4347on.ex
(2) 在“運行”中輸入 gpedit.msc ,打開“組策略”,將下列項
設定為“禁用” 。
1)、用戶配置 = 》管理模板 = 》 Windows 資源管理器 = 》
從“工具”選單中刪除“資料夾選項”選單
2)、用戶配置 = 》管理模板 = 》系統 = 》阻止訪問註冊表編輯工具
3)、用戶配置 = 》管理模板 = 》系統 = 》阻止訪問命令提示符
(3) 刪除下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\ Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Tok-Cirrhatus-1662
Value: String: ""%Documents and Settings%\
當前用戶名 \Local Settings\Application ata\br4347on.exe""
(4) 恢復下列註冊表鍵值為舊值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\AlternateShell
New: String: "cmd-brontok.exe"
Old: String: "cmd.exe"
(5) 刪除病毒釋放檔案:
%Documents and Settings%\ 當用的用戶名 \
Templates\ %Documents and Settings%\ 當前用戶名 \
Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \
Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\svchost.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\br4347on.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\Bron.tok-17-24\
%Documents and Settings\ 當前用戶名 \
「開始」選單 \ 程式 \ 啟動 \ Empty.pif
%WinDir%\KesenjanganSosial.exe
%System32%\ antiy's Setting.scr
%System32%\ cmd-brontok.exe
%WinDir%\ShellNew\RakyatKelaparan.exe
(6) 刪除病毒添加的計畫任務。
(7) 建議用安天木馬防線全描掃描所有磁碟。
