BF2142
2007-07-07, 12:04 PM
病毒名稱: Email-Worm.Win32.Brontok.c
中文名稱: 布朗克變種
病毒類型: 蠕蟲類
文件 MD5: 3E8506FFDDE89B31580043CB814F1578
公開範圍: 完全公開
危害等級: 5
文件長度: 222,720 字節
感染系統: Win9X以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
命名對照: BitDefender [Generic.Brontok.26297BBD]NOD32[Win32/Brontok.CV]
Avast![ Win32:Brontok-I] AVG[ Virus identified I-Worm/Brontok.C]
DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM]
病毒描述:
該病毒運行後,衍生病毒文件到多個目錄下,添加註冊表隨機運行項以跟隨系統啟動。並添計劃任
務、啟動項目以保證啟動病毒副本。病毒修改註冊表以達到禁用「註冊表」、「文件夾選項」的目的。發
送帶有病毒副本的郵件到搜索到的 Email地址。
行為分析:
1 、衍生下列副本與文件:
%Documents and Settings%\ 當前用戶名 \Templates\Brengkolang.com
%Documents and Settings%\ 當前用戶名 \Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \Application Data\Update.14.Bron.Tok.bin
%Documents and Settings%\ 當前用戶名 \Application Data\Update.14.Bron.Tok.bin
%Documents and Settings%\ 當前用戶名 \ 「開始」菜單 \ 程序 \ 啟動 \ Empty.pif
%WinDir%\ShellNew\sempalong.exe
%WinDir%\BerasJatah.exe
%WinDir%\System32\antiy's Setting.scr
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\sempalong.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
Value: String: ""%Documents and Settings\ 當前用戶名 \Local Settings\
ApplicationData\smss.exe""
3 、修改下列註冊表鍵值:
\Documents and Settings\ 當前用戶名 \ 「開始」菜單 \ 程序 \ 啟動 \ Empty.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
4 、添加一個執行病毒副本的計劃任務:
名稱 : At1
執行路徑: "%Documents and Settings\ 當用的用戶名 \Templates\Brengkolang.com"
執行時間:每天的 17:08
5 、發送帶有病毒附件的空標題郵件,郵件內容為 ;
-- Hentikan kebobrokan di negeri ini --
1). Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2). Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL )
3). Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4). SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
By: HVM31 -- JowoBot #VM Community --
!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!
6 、郵件地址從包含下列字符串的文件中獲得:
PLASA,TELKOM,INDO,.CO.ID,.GO.ID,.MIL.ID,.SCH.ID,.NET.ID,
.OR.ID,.AC.ID,.WEB.ID,.WAR.NET.ID,ASTAGA,GAUL
7 、發送 ping 包,對 KASKUS.com ( 6*.2*2.1*9.1*0 )進行 ICMP 泛洪攻擊。
8 、從下列地址下載 TXT 文件:
www.g*oc*ti*s.com (http://www.g*oc*ti*s.com/) ( 6*.2*8.7*.6* ) /sblsji1/IN14SDSDWWHOX.txt
註: % System% 是一個可變路徑。病毒通過查詢操作系統來決定當前 System 文件夾的位置。
Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是
C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應文件,恢復相關係統設置。
(1) 使用安天木馬防線斷開網絡,結束病毒進程:
%Documents and Settings%\ 當前用戶名 \
Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
(2) 在「運行」中輸入 gpedit.msc ,打開「組策略」,將下列項設置為
「禁用」:
1)、用戶配置->管理模板->Windows 資源管理器->
從「工具」菜單中刪除「文件夾選項」菜單
2)、用戶配置->管理模板->系統->阻止訪問註冊表編輯工具
3)、用戶配置->管理模板->系統->阻止訪問命令提示符
(3) 刪除下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\sempalong.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Tok-Cirrhatus
Value: String: ""%Documents and Settings\ 當前用戶名 \
Local Settings\Application Data\smss.exe""
(4) 恢復下列註冊表鍵值為舊值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
(5) 刪除病毒釋放文件:
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \
Templates\Brengkolang.com
%Documents and Settings%\ 當前用戶名 \
Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \
Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \
ApplicationData\Update.14.Bron.Tok.bin
%Documents and Settings%\ 當前用戶名 \
ApplicationData\Update.14.Bron.Tok.bin
%Documents and Settings\ 當前用戶名 \
「開始」菜單 \ 程序 \ 啟動 \ Empty.pif
%WinDir%\ShellNew\sempalong.exe
%WinDir%\BerasJatah.exe
%WinDir%\tl32v20.dll
%WinDir%\System32\antiy's Setting.scr
中文名稱: 布朗克變種
病毒類型: 蠕蟲類
文件 MD5: 3E8506FFDDE89B31580043CB814F1578
公開範圍: 完全公開
危害等級: 5
文件長度: 222,720 字節
感染系統: Win9X以上系統
開發工具: Microsoft Visual Basic 5.0 / 6.0
命名對照: BitDefender [Generic.Brontok.26297BBD]NOD32[Win32/Brontok.CV]
Avast![ Win32:Brontok-I] AVG[ Virus identified I-Worm/Brontok.C]
DrWeb[BackDoor.Generic.1138] McAfee[W32/Rontokbro.gen@MM]
病毒描述:
該病毒運行後,衍生病毒文件到多個目錄下,添加註冊表隨機運行項以跟隨系統啟動。並添計劃任
務、啟動項目以保證啟動病毒副本。病毒修改註冊表以達到禁用「註冊表」、「文件夾選項」的目的。發
送帶有病毒副本的郵件到搜索到的 Email地址。
行為分析:
1 、衍生下列副本與文件:
%Documents and Settings%\ 當前用戶名 \Templates\Brengkolang.com
%Documents and Settings%\ 當前用戶名 \Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \Application Data\Update.14.Bron.Tok.bin
%Documents and Settings%\ 當前用戶名 \Application Data\Update.14.Bron.Tok.bin
%Documents and Settings%\ 當前用戶名 \ 「開始」菜單 \ 程序 \ 啟動 \ Empty.pif
%WinDir%\ShellNew\sempalong.exe
%WinDir%\BerasJatah.exe
%WinDir%\System32\antiy's Setting.scr
2 、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run\Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\sempalong.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
Value: String: ""%Documents and Settings\ 當前用戶名 \Local Settings\
ApplicationData\smss.exe""
3 、修改下列註冊表鍵值:
\Documents and Settings\ 當前用戶名 \ 「開始」菜單 \ 程序 \ 啟動 \ Empty.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
4 、添加一個執行病毒副本的計劃任務:
名稱 : At1
執行路徑: "%Documents and Settings\ 當用的用戶名 \Templates\Brengkolang.com"
執行時間:每天的 17:08
5 、發送帶有病毒附件的空標題郵件,郵件內容為 ;
-- Hentikan kebobrokan di negeri ini --
1). Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2). Stop Free Sex, Aborsi, & Prostitusi ( Go To HELL )
3). Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4). SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah
By: HVM31 -- JowoBot #VM Community --
!!! Akan Kubuat Mereka (VM lokal yg cengeng & bodoh) Terkapar !!!
6 、郵件地址從包含下列字符串的文件中獲得:
PLASA,TELKOM,INDO,.CO.ID,.GO.ID,.MIL.ID,.SCH.ID,.NET.ID,
.OR.ID,.AC.ID,.WEB.ID,.WAR.NET.ID,ASTAGA,GAUL
7 、發送 ping 包,對 KASKUS.com ( 6*.2*2.1*9.1*0 )進行 ICMP 泛洪攻擊。
8 、從下列地址下載 TXT 文件:
www.g*oc*ti*s.com (http://www.g*oc*ti*s.com/) ( 6*.2*8.7*.6* ) /sblsji1/IN14SDSDWWHOX.txt
註: % System% 是一個可變路徑。病毒通過查詢操作系統來決定當前 System 文件夾的位置。
Windows2000/NT 中默認的安裝路徑是 C:\Winnt\System32 , windows95/98/me 中默認的安裝路徑是
C:\Windows\System , windowsXP 中默認的安裝路徑是 C:\Windows\System32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應文件,恢復相關係統設置。
(1) 使用安天木馬防線斷開網絡,結束病毒進程:
%Documents and Settings%\ 當前用戶名 \
Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
(2) 在「運行」中輸入 gpedit.msc ,打開「組策略」,將下列項設置為
「禁用」:
1)、用戶配置->管理模板->Windows 資源管理器->
從「工具」菜單中刪除「文件夾選項」菜單
2)、用戶配置->管理模板->系統->阻止訪問註冊表編輯工具
3)、用戶配置->管理模板->系統->阻止訪問命令提示符
(3) 刪除下列註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Bron-Spizaetus
Value: String: ""%WINDOWS%\ShellNew\sempalong.exe""
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run\Tok-Cirrhatus
Value: String: ""%Documents and Settings\ 當前用戶名 \
Local Settings\Application Data\smss.exe""
(4) 恢復下列註冊表鍵值為舊值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
CurrentVersion\Winlogon\Shell
New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
Old: String: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Hidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\HideFileExt
New: DWORD: 1 (0x1)
Old: DWORD: 0 (0)
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\ShowSuperHidden
New: DWORD: 0 (0)
Old: DWORD: 1 (0x1)
(5) 刪除病毒釋放文件:
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \
Templates\Brengkolang.com
%Documents and Settings%\ 當前用戶名 \
Application Data\csrss.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\inetinfo.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\ListHost14.txt
%Documents and Settings%\ 當前用戶名 \
Application Data\lsass.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\services.exe
%Documents and Settings%\ 當前用戶名 \
Application Data\smss.exe
%Documents and Settings%\ 當前用戶名 \
ApplicationData\Update.14.Bron.Tok.bin
%Documents and Settings%\ 當前用戶名 \
ApplicationData\Update.14.Bron.Tok.bin
%Documents and Settings\ 當前用戶名 \
「開始」菜單 \ 程序 \ 啟動 \ Empty.pif
%WinDir%\ShellNew\sempalong.exe
%WinDir%\BerasJatah.exe
%WinDir%\tl32v20.dll
%WinDir%\System32\antiy's Setting.scr