Вирусная лаборатория Avira

Worm/Brontok.Q.153

  • Имя
    Worm/Brontok.Q.153
  • Date discovered
    08 дек. 2015 г.
  • Тип
    Malware
  • Воздействие
    Высокий 
  • Сообщения о заражении
    Низкий 
  • Операционная система
    Windows
  • Версия VDF
    7.01.05.117 (2009-08-14 17:01)

Относительно 'WORM' речь идет о черве, который в состоянии, например, самостоятельно распространяться через интернет (рассылка электронной почты, сети Peer-To-Peer, сети IRC и др.) или через сеть Intranet.

  • VDF
    7.01.05.117 (2009-08-14 17:01)
  • Alias
    Avast: Win32:Brontok-CE
    AVG: I-Worm/Brontok.X
    ClamAV: Worm.Brontok-16
    Dr. Web: Win32.HLLM.Brontok.15
    F-PROT: W32/Brontok.C.gen!Eldorado (generic, not disinfectable)
    Trend Micro: WORM_RONTKBR.AD
    Microsoft: Worm:Win32/Brontok@mm
    G Data: Trojan.Generic.1934606
    Kaspersky Lab: Email-Worm.Win32.Brontok.q
    Bitdefender: Trojan.Generic.1934606
    ESET: Win32/Brontok.DJ worm
  • Файлы
    Следующие копии самого объекта созданы:
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Templates\Brengkolang.com
    • %SYSDIR%\%USERNAME%'s Setting.scr
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %WINDIR%\ShellNew\RakyatKelaparan.exe
    • %SYSDIR%\cmd-brontok.exe
    • %WINDIR%\KesenjanganSosial.exe
    • %USERPROFILE%\Local Settings\Application Data\csrss.exe
    • %SYSDIR%\drivers\etc\hosts-Denied By-%USERNAME%.com
  • Реестр
    Добавляются следующие ключи реестра:
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\smss.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\smss.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\smss.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\smss.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\smss.exe""; "Tok-Cirrhatus": "")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System ("DisableRegistryTools": dword:00000001; "DisableCMD": dword:00000000)
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ("Bron-Spizaetus": ""%WINDIR%\ShellNew\RakyatKelaparan.exe"")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot ("AlternateShell": "cmd-brontok.exe")
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer ("NoFolderOptions": dword:00000001)
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ("Tok-Cirrhatus-2454": ""%USERPROFILE%\Local Settings\Application Data\smss.exe""; "Tok-Cirrhatus": "")
  • Запросы HTTP
    • www.*****ties.com/sblppt4/IN15OLPDQGRO.txt
    • www.*****ties.com/sblppt4/Host15.txt

Чтобы сделать Интернет безопаснее, отправляйте нам подозрительные файлы и URL-адреса для анализа.

Отправить файл или URL-адрес или Перейти к Avira Answers

Зачем отправлять подозрительные файлы?

Если вы обнаружили подозрительный файл или веб-сайт, которого нет в нашей базе данных, мы проанализируем его и определим, является ли он вредоносным. Затем результаты анализа получат миллионы наших пользователей при следующем обновлении базы данных по вирусам. Если у вас установлено приложение Avira, вы тоже получите такое обновление. У вас не установлено приложение Avira? Загрузите его с нашей домашней страницы.

Что такое Avira Answers?

Это наше активно развивающееся сообщество технических профессионалов и внештатных экспертов, работающих совместно для решения технических проблем. Это идеальная возможность задать свой вопрос сообществу таких же пользователей Avira.