Email-Worm.Win32.Brontok.q

病毒名称： Email-Worm.Win32.Brontok.q

中文名称：布朗克变种

病毒类型：蠕虫类

文件 MD5： 41BC917A697AB13ECB4C97496300080B

公开范围：完全公开

危害等级： 5

文件长度：脱壳前 45,417 字节，脱壳后273,408 字节

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳工具： MEW 11 1.2 -> NorthFox/HCC

命名对照： Symantec [W32.Rontokbro@mm]

Avast![ Win32:Brontok-I]

Sophos [W32/Korbo-B ]

DrWeb[BackDoor.Generic.1138]

McAfee[W32/Rontokbro.gen@MM]

FRISK [W32/Brontok.C@mm]

病毒描述：

该病毒运行后，衍生病毒文件到多个目录下，添加注册表随机运行项以跟随系统启动。并

添计划任务、更改文件执行映射、使用“文件夹”图标欺骗等手段，保证病毒体运行。当病毒

运行时，检查是否有不利于病毒的程序存在，如有则重新启动计算机。病毒会禁用注册表，关

闭“文件夹选项”，去掉查看隐藏文件设置。搜索本地 E-mail地址发送病毒副本传播。此病毒

并不会一次性释放完所有的病毒行为，所以会因为感染的不同程度，感染后的效果也不一样。

行为分析：

1 、衍生下列副本与文

%Documents and Settings% 当用用户名 Templates6876-NendangBro.com

%Documents and Settings% 当前用户名 Application Datacsrss.exe

%Documents and Settings% 当前用户名 Application Datainetinfo.exe

%Documents and Settings% 当前用户名 Application DataListHost14.txt

%Documents and Settings% 当前用户名 Application Datalsass.exe

%Documents and Settings% 当前用户名 Application Dataservices.exe

%Documents and Settings% 当前用户名 Application Datasmss.exe

%Documents and Settings% 当前用户名 Application Datasvchost.exe

%Documents and Settings% 当前用户名 Application Datar4347on.exe

%Documents and Settings% 当前用户名 Application DataBron.tok-17-24

%Documents and Settings 当前用户名「开始」菜单程序启动 Empty.pif

%WinDir%KesenjanganSosial.exe

%System32% antiy's Setting.scr

%System32% cmd-brontok.exe

%WinDir%ShellNewRakyatKelaparan.exe

2 、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunBron-Spizaetus

Value: String: ""%WINDOWS%ShellNewRakyatKelaparan.exe""

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

RunTok-Cirrhatus-1662

Value: String: ""%Documents and Settings% 当前用户名

Local SettingsApplication Datar4347on.exe""

3 、修改下列注册表键值：

Documents and Settings 当前用户名「开始」菜单程序启动 Empty.pif

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT

CurrentVersionWinlogonShell

New: String: "Explorer.exe "%WINDdir%KesenjanganSosial.exe""

Old:String:"Explorer.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvancedHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvancedHideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion

ExplorerAdvancedShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlSafeBootAlternateShell

New: String: "cmd-brontok.exe"

Old: String: "cmd.exe"

4 、添加多个执行病毒副本的计划任务，名称为 At1 、 At2 、依次排列：

名称 : At1

执行路径： "%Documents and Settings 当用的用户名

Templates6876-NendangBro.com"

执行时间：每天的 17:08 或 11.03

5 、检索下列文件夹中邮件地信息：

my ebooks

my data sources

my music

my pictures

my shapes

my documentes

6 、邮件地址从包含下列字符串的文件中获得：

.html .htm .txt .eml .wab .asp .php .cfm .csv .doc .pdf .xls .ppt .htt

7 、感染即插式存储器，遍历存储器内所有目录，以目录名命名病毒副本，复制副本到每个

目录下，包括根目录，并在存储器根目录上生成 Atuorun.inf 文件，以实现用户双击盘

符时运行病毒体。

8 、访问下列服务器地址：

www.n*t4f*ee.org(6*.2*.1*4.*1)

www.*p*q*.com(6*.2*.7.1*6)

www.l*r*c*b*ok.net(6*.2*.*.1*6)

www.2*m*w*b.com(6*.2*.1*4.*1)/ nodoc/

www.2*m*w*b.com(6*.2*.1*4.*1)/ News/cmbrosji1/IN17.css

9 、在根目录下创建 about.brontok.a.html ，不定时会弹出：

创建 kosong.bron.tok.txt, 内容为：

Brontok.a

By: hvm31

-- jowobot #vm community --

10 、发送带有病毒副本附件的邮件，附件名从病毒建立的 !submit 目录下随机选取，如：

winword.exe

xpshare.exe

11 、可能会修改 host 文件，以阻止用户或用户程序访问安全类网站。

12 、病毒会检查程序窗口标题，如含有下列字符串，则重启计算机：

. ASP .EXE.HTM .JS .PHPADMIN ADOBE AHNLAB ALADDIN ALERT

ALWILANTIGENAPACHE APPLICATION ARCHIEVE ASDF ASSOCIATE AVAST

AVG AVIRABILLING@ BLACK BLAH BLEEP BUILDERCANON CENTER

CILLINCISCO CMD. CNET COMMANDCOMMANDPROMPT CONTOHCONTROL

CRACK DARK DATA DATABASEDEMO DETIK DEVELOP DOMAIN DOWNLOAD

ESAFE ESAVE ESCAN EXAMPLE FEEDBACK FIREWALLFOO@ FUCK FUJITSU

GATEWAY GOOGLE GRISOFT GROUP HACK HAURIHIDDENHP. IBM.

INFO@ INTEL.KOMPUTER LINUXLOG OFFWINDOWS LOTUSMACRO

MALWAREMASTER MCAFEEMICROMICROSOFT MOZILLA MYSQL NETSCAPE

NETWORK NEWSNOD32 NOKIANORMANNORTON NOVELL NVIDIA OPERA

OVERTUREPANDA PATCH POSTGRE PROGRAM PROLAND PROMPTPROTECT

PROXYRECIPIENTREGISTRYRELAYRESPONSE ROBOTSCAN SCRIPT

HOST SEARCHR SECURE SECURITY SEKURSENIOR SERVER SERVICE

SHUT DOWN SIEMENS SMTPSOFTSOME SOPHOSSOURCE SPAMSPERSKY

SUN.SUPPORT SYBARISYMANTECSYSTEM CONFIGURATIONTEST TREND

TRUSTUPDATEUTILITYVAKSINVIRUS W3.WINDOWS SECURITY.VBS

WWWXEROX XXX YOURZDNET ZEND ZOMBIE

注： % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:WinntSystem32 ， windows95/98/me 中默认的安装

路径是 C:WindowsSystem ， windowsXP 中默认的安装路径是 C:WindowsSystem32 。

清除方案：

1 、使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线断开网络，结束病毒进程：

%Documents and Settings% 当用的用户名

Templates6876-NendangBro.com

%Documents and Settings% 当前用户名

Application Datacsrss.exe

%Documents and Settings% 当前用户名

Application Datainetinfo.exe

%Documents and Settings% 当前用户名

Application DataListHost14.txt

%Documents and Settings% 当前用户名

Application Datalsass.exe

%Documents and Settings% 当前用户名

Application Dataservices.exe

%Documents and Settings% 当前用户名

Application Datasmss.exe

%Documents and Settings% 当前用户名

Application Datasvchost.exe

%Documents and Settings% 当前用户名

Application Datar4347on.ex

(2) 在“运行”中输入 gpedit.msc ，打开“组策略”，将下列项

设置为“禁用” 。

1)、用户配置 = 》管理模板 = 》 Windows 资源管理器 = 》

从“工具”菜单中删除“文件夹选项”菜单

2)、用户配置 = 》管理模板 = 》系统 = 》阻止访问注册表编辑工具

3)、用户配置 = 》管理模板 = 》系统 = 》阻止访问命令提示符

(3) 删除下列注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows

CurrentVersionRun Bron-Spizaetus

Value: String: ""%WINDOWS%ShellNewRakyatKelaparan.exe""

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionRunTok-Cirrhatus-1662

Value: String: ""%Documents and Settings%

当前用户名 Local SettingsApplication atar4347on.exe""

(4) 恢复下列注册表键值为旧值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNT

CurrentVersionWinlogonShell

New: String: "Explorer.exe "%WINDOWS%BerasJatah.exe""

Old: String: "Explorer.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerAdvancedHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerAdvancedHideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USERSoftwareMicrosoftWindows

CurrentVersionExplorerAdvancedShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINESYSTEMControlSet001

ControlSafeBootAlternateShell

New: String: "cmd-brontok.exe"

Old: String: "cmd.exe"

(5) 删除病毒释放文件：

%Documents and Settings% 当用的用户名

Templates6876-NendangBro.com

%Documents and Settings% 当前用户名

Application Datacsrss.exe

%Documents and Settings% 当前用户名

Application Datainetinfo.exe

%Documents and Settings% 当前用户名

Application DataListHost14.txt

%Documents and Settings% 当前用户名

Application Datalsass.exe

%Documents and Settings% 当前用户名

Application Dataservices.exe

%Documents and Settings% 当前用户名

Application Datasmss.exe

%Documents and Settings% 当前用户名

Application Datasvchost.exe

%Documents and Settings% 当前用户名

Application Datar4347on.exe

%Documents and Settings% 当前用户名

Application DataBron.tok-17-24

%Documents and Settings 当前用户名

「开始」菜单程序启动 Empty.pif

%WinDir%KesenjanganSosial.exe

%System32% antiy's Setting.scr

%System32% cmd-brontok.exe

%WinDir%ShellNewRakyatKelaparan.exe

(6) 删除病毒添加的计划任务。

(7) 建议用安天木马防线全描扫描所有磁盘。