Need help? Ask the community or hire an expert.
Go to Avira Answers
病毒:Worm/Brontok.C.6.A
发现日期:13/12/2012
类型:蠕虫
广泛传播:
病毒传播个案呈报:低程度
感染/传播能力:中等程度至高程度
破坏 / 损害程度:中等程度
静态文件:
文件大小:45.458 字节
MD5 校检和:69b44a84e75c3d34a5ed5b49b43f2c8f
VDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe
IVDF 版本:7.11.53.216 - 13 Aralık 2012 Perşembe

 况概描述 传播方法:
   • 电子邮件
   • 对等网络


别名:
   •  Kaspersky: Email-Worm.Win32.Brontok.q
   •  TrendMicro: WORM_BRONTOK.AM
   •  VirusBuster: I-Worm.Brontok.M
   •  Eset: Win32/Brontok.AT


平台/操作系统:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


副作用:
   • 使用自置的电子邮件引擎
   • 降低系统安全设置
   • 注册表修改

 文件 它将本身复制到以下位置:
   • %WINDIR%\ShellNew\RakyatKelaparan.exe
   • %SYSDIR%\cmd-brontok.exe
   • %SYSDIR%\%当前用户名%'s Setting.scr
   • %WINDIR%\KesenjanganSosial.exe
   • %HOME%\Local Settings\Application Data\smss.exe
   • %HOME%\Local Settings\Application Data\br%四位数的随机字符串%on.exe
   • %HOME%\Local Settings\Application Data\services.exe
   • %HOME%\Local Settings\Application Data\inetinfo.exe
   • %HOME%\Local Settings\Application Data\csrss.exe
   • %HOME%\Local Settings\Application Data\lsass.exe
   • %HOME%\Local Settings\Application Data\IDTemplate.exe
   • %HOME%\Templates\%五位数的随机字符串%-NendangBro.com
   • %SYSDIR%\drivers\etc\hosts-Denied By-%当前用户名%.com



删除以下文件:
   • %SYSDIR%\drivers\etc\hosts-Denied By-%当前用户名%.com



创建以下文件:

– %HOME%\Local Settings\Application Data\Loc.Mail.Bron.Tok\%搜集的电子邮件地址%.ini 这是一个无恶意的文本文件,包含以下内容:
   • Brontok.A
     By: HVM31
     -- JowoBot
     VM Community --

– C:\autoexec.bat 这是一个无恶意的文本文件,包含以下内容:
   • pause

– %WINDIR%\Tasks\At1.job 该文件是工作排程,在预定的时间运行恶意软件。



它会尝试下载文件:

– 该位置如下所示:
   • www.geocities.com/stabro7ok/**********
撰写本文时,此文件并未联机作深入调查。

 注册表 会添加以下注册表项,以便在系统重新引导后运行进程:

– HKLM\software\microsoft\windows\currentversion\run
   • "Bron-Spizaetus" = ""%WINDIR%\ShellNew\RakyatKelaparan.exe""

– HKCU\software\microsoft\windows\currentversion\run
   • "Tok-Cirrhatus" = ""
   • "Tok-Cirrhatus-%四位数的随机字符串%" = ""%HOME%\Local Settings\Application Data\bron%四位数的随机字符串%on.exe""



会添加以下注册表项目注册值:

– HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
   • "AlternateShell" = "cmd-brontok.exe"



会更改以下注册表项:

禁用 Regedit 和任务管理器:
– HKCU\software\microsoft\windows\currentversion\Policies\System
   旧值:
   • "DisableCMD" = %用户定义的设置%
   • "DisableRegistryTools" = %用户定义的设置%
   新值:
   • "DisableCMD" = dword:00000000
   • "DisableRegistryTools" = dword:00000000

各种 Explorer 设置:
– HKCU\software\microsoft\windows\currentversion\Policies\Explorer
   旧值:
   • "NoFolderOptions" = %用户定义的设置%
   新值:
   • "NoFolderOptions" = dword:00000001

各种 Explorer 设置:
– HKCU\software\microsoft\windows\currentversion\explorer\advanced
   旧值:
   • "ShowSuperHidden" =%用户定义的设置%
   • "HideFileExt" = %用户定义的设置%
   • "Hidden" = %用户定义的设置%
   新值:
   • "ShowSuperHidden" = dword:00000000
   • "HideFileExt" = dword:00000001
   • "Hidden" = dword:00000000

 电子邮件 它包含集成的 SMTP 引擎,用于发送电子邮件。 将与目标服务器建立直接连接。 下面说明了它的特征:


发件人:
发件地址是仿冒的。


收件人:
– 在系统上的特定文件中找到的电子邮件地址。
– 从 WAB (Windows 通讯簿) 搜集到的电子邮件地址


主题:
主题被空置。


正文:
电子邮件的正文如下所示:

   • BRONTOK.A[49] [ By: HVM64 -- JowoBot &VM Community ]
      -- Hentikanlah kebobrokan di negeri ini --
     4. Penjarakan Koruptor/ Penyelundup/ Tukang Suap/ ) Bandar NARKOBA
     + Send to %NUSAKAMBANGAN%,
     5. Stop Free Sex/ Aborsi/ ) Prostitusi
+ Go To HELL ,
     6. Stop pencemaran lingkungan/ pembakaran hutan ) perburuan liar.
     7. Stop Pornografi ) Pornoaksi
     8. SAY NO TO DRUGS $$$
      -- KIAMAT SUDAH DEKAT --
      Terinspirasi oleh:
     Elang Brontok +Spi}aetus Cirrhatus, yang hampir punah

      [ By: HVM64 ]
      -- JowoBot &VM Community --
     $$$ Akan Kubuat Mereka +VM lokal yg cengeng ) bodoh, Terkapar $$$


附件:
附件的文件名包含以下内容:

–  其开头是以下某项内容:
   • PATAH
   • HATI
   • CINTA
   • UNTUKMU
   • DATA-TEMEN
   • RIYANI
   • JANGKARU
   • KANGEN
   • JROX

    后跟以下某个假扩展名:
   • .doc
   • .xls

    使用以下其中项文件扩展名 :
   • .exe

该附件是恶意软件本身的副本。

 邮件 搜索地址:
它会在以下文件中搜索电子邮件地址:
   • .txt; .eml; .wab; .asp; .php; .cfm; .csv; .doc; .xls; .pdf; .ppt; .htt


避免地址:
它不会向包含以下某个字符串的地址发送电子邮件:
   • DOMAIN; HIDDEN; DEMO; DEVELOP; FOOZ; KOMPUTER; SENIOR; DARK; BLACK;
      BLEEP; FEEDBACK; IBM.; INTEL.; MACRO; ADOBE; FUCK; RECIPIENT; SERVER;
      PROXY; ZEND; ZDNET; CNET; DOWNLOAD; HP.; XEROX; CANON; SERVICE;
      ARCHIEVE; NETSCAPE; MOZILLA; OPERA; NOVELL; NEWS; UPDATE; RESPONSE;
      OVERTURE; GROUP; GATEWAY; RELAY; ALERT; SEKUR; CISCO; LOTUS; MICRO;
      TREND; SIEMENS; FUJITSU; NOKIA; W6.; NVIDIA; APACHE; MYSQL; POSTGRE;
      SUN.; GOOGLE; SPERSKY; ZOMBIE; ADMIN; AVIRA; AVAST; TRUST; ESAVE;
      ESAFE; PROTECT; ALADDIN; ALERT; BUILDER; DATABASE; AHNLAB; PROLAND;
      ESCAN; HAURI; NOD65; SYBARI; ANTIGEN; ROBOT; ALWIL; BROWSE; COMPUSE;
      COMPUTE; SECUN; SPYW; REGIST; FREE; BUG; MATH; LAB; IEEE; KDE; TRACK;
      INFORMA; FUJI; ZMAC; SLACK; REDHA; SUSE; BUNTU; XANDROS; ZABC; Z456;
      LOOKSMART; SYNDICAT; ELEKTRO; ELECTRO; NASA; LUCENT; TELECOM; STUDIO;
      SIERRA; USERNAME; IPTEK; CLICK; SALES; PROMO; PLASA; TELKOM; INDO;
      .CO.ID; .GO.ID; .MIL.ID; .SCH.ID; .NET.ID; .OR.ID; .AC.ID; .WEB.ID;
      .WAR.NET.ID; ASTAGA; GAUL; BOLEH; EMAILKU; SATU


前面追加 MX 字符串:
为了获取电子邮件服务器的 IP 地址,它能够在域名前追加以下字符串:
   • smtp.
   • mail.
   • ns1.

 P2P 为了感染对等网络社区中的其他系统,会执行以下操作: 它会搜索所有共享目录。

   如果成功,会创建以下文件:
   • %所有
Açıklamayı yerleştiren Irina Boldea tarihinde 26 Eylül 2006 Salı
Açıklamayı güncelleyen: Irina Boldea tarihinde 26 Eylül 2006 Salı

Geri . . . .
https:// Bu pencere güvenlik amacıyla şifrelenmiştir.