病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
45120
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
这是一个通过网络共享传播的蠕虫病毒,它能中止掉许多安全软件的进程。
1:复制文件
病毒会把自己复制到以下目录去
C:\WINDOWS\system32\n随机数字\smss.exe
C:\WINDOWS\j随机数字.exe
C:\WINDOWS\system32\c_随机数字k.com
C:\WINDOWS\system32\n随机数字\sv随机数字r.exe
C:\WINDOWS\o随机数字.exe
C:\WINDOWS\_default随机数字.pif
C:\DocumentsandSettings\当前用户名\LocalSettings\ApplicationData\随机目录\yesbron.com
并把这些文件加上只读、隐藏、系统属性
2:更改注册表
病毒会更改以下几处注册表的值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加键名:(随机名)
键值:C:\WINDOWS\system32\n随机数字\sv随机数字r.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
更改键名:Hiddent
键值:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
更改键名:HideFileExt
键值:1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
更改键名:ShowSuperHiddent
键值:0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
更改键名:DisableRegistryTools
键值:1
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogo
Shell->Explorer.exe"病毒体"
更改键名:Shell
键值:Explorer.exeC:\WINDOWS\system32\n随机数字\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
randname->virus
更改键名:(随机名)
键值:C:\WINDOWS\_default随机数字.pif
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
更改键名:Userinit
键值:C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\c_随机数字k.com
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell->virus
更改键名:Userinit
键值:C:\WINDOWS\o随机数字.exe
3:病毒发作
病毒发作时会在控制台里显示以下信息:
CommandBro!!!
#########################BRONTOK.C[22]####################
--Hentikanlahkebobrokandinegeriini--
1.PenjarakanKoruptor,Penyelundup,TukangSuap,&BandarN
2.StopFreeSex,Aborsi,&Prostitusi
3.StopPencemaranAlam,PembakaranHutan&PerburuanLiar.
4.SAYNOTODRUGS!!!
--SpizaetusCirrhatus--
[ByJowoBot]
+++++0000++++00000++++0000+++0+++++0++0000000+++0000+++0+++0
+++++0++++0++0++++0++0++++0++00++++0+++++0+++++0++++0++0++0+
+++++0++++0++0++++0++0++++0++0+0+++0+++++0+++++0++++0++0+0++
+++++00000+++00000+++0++++0++0++0++0+++++0+++++0++++0++00+++
+++++0++++0++0++0++++0++++0++0+++0+0+++++0+++++0++++0++0+0++
+++++0++++0++0+++0+++0++++0++0++++00+++++0+++++0++++0++0++0+
+++++0000++++0++++0+++0000+++0+++++0+++++0++++++0000+++0+++0
~~SedikitJawabanu/MembungkamMulutSesumbar
Nobron&Romdil=OtakKosong,MulutBesar,CumaBisa
Nobron=SatriaDungu=Nothing!!!
Romdil=TukangJiplak=Nothing!!!
Nobron&Romdil-->>KickedbyTheAmazingBro
[ByJowoBot]
4:中止常见软件进程
病毒会枚举所有窗口,若发现窗口标题有以下文字时,
刚中止掉窗口对应的进程。
"taskmanager"
"bacabro!!!"
"registry"
"commandprompt"
"systemconfiguration"
"grouppolicy"
"computermanagement"
"scheduledtask"
"killbox"
"hijack"
"SYSINTERNAL"
"PROCESSEXP"
"REMOVER"
"CLEANER"
"anti"
"washer"
"ertanto"
"BROWNIES"
"movzx"
"killer"
"pcmedia"
"pc-media"
"rontok"
"rontox"
"robknot"
"commander"
"windowsscript"
"norman"
"norton"
“symantec"
"cillin"
"trendmicro"
"bitdef"
"kaspersky"
"avg"
”avira"
"virus"
"trojan"
"worm"
"mcafee"
"b.e"
"folderoption"
"wintask"
"alwil"
"sex"
"porn"
"naked"
"cewe"
"bugil"
"telanjang"
"nod32"
"taskview"
“peid"
"ahnlab"
5:病毒传播
病毒通过网络共享传播,它通过IPC$共享把自身拷贝到远程机上的启动目录里,
并用at命令在远程机器指定了运行病毒文件的时间。
一但到了指定时间(天天的11:03和17:08)或远程机器重新启动病毒程序就会被运行。