Worm.Brontok.b

王朝other·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

蠕虫病毒

病毒长度:

45417

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个通过电子邮件传播的蠕虫病毒。该病毒能自动搜集用户机器上的电子邮件地址,把自身做为附件发送出去。病毒会释放病毒文件,添加自启动项,禁用注册表治理器。同时,病毒会检测用户打开的程序窗口,假如发现标题为特定字样,则重新启动用户机器。该病毒会在明天定时运行两次。

1,释放下列病毒文件:

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\br8241on.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\csrss.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\inetinfo.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\services.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\smss.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\svchoost.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\lsass.exe

%sysroot%:\DocumentsandSettings\administrator\LocalSettings\ApplicationData\winlogon.exe

%system%\administrator"ssetting.exe

%system%\cmd-brontok.exe

%windows%\KesenjanganSosial.exe

%ShellNew%\RakyatKelaparan.exe

2,把病毒添加到启动菜单

c:\DocumentsandSettings\administrator\[开始]菜单\程序\启动\empty.pif

3,修改注册表,达到自启动

HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run

Bron-Spizaetus="C:\WINNT\ShellNew\RakyatKelaparan.exe"

HKLM\SoftWare\Microsoft\Windows\CurrentVersionWinlogon\Shell

Bron-Spizaetus="C:\WINNT\ShellNew\RakyatKelaparan.exe"

4,修改注册表:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\explorer\advanced

"Hidden"="0"

"ShowSuperHidden"="0"

"HideFileExt"="1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

"DisableRegistryTools"="1"

"DisableCMD"="0"

5,修改下列文件

C:\Autoexec.bat

"pause"

6,天天上午11:03分和,下午5:08分运行

7,假如窗口标题含有下列字符串,则重新启动机器

.ASP

.EXE

.HTM

.JS

.PHP

ADMIN

AVAST

AVG

AVIRA

BILLING@

BLACK

BLAH

BLEEP

BUILDER

CANON

CENTER

CILLIN

CISCO

CMD.

CNET

CONTOH

CONTROL

CRACK

DARK

DATA

DATABASE

DEMO

DETIK

DEVELOP

DOMAIN

DOWNLOAD

ESAFE

ESAVE

ESCAN

EXAMPLE

FEEDBACK

FIREWALL

FOO@

FUCK

FUJITSU

GATEWAY

GOOGLE

GRISOFT

GROUP

HACK

HP.

IBM.

INFO@

INTEL.

KOMPUTER

LINUX

LOGOFFWINDOWS

OPERA

OVERTURE

PANDA

PATCH

ROBOT

SCAN

SCRIPTHOST

SEARCHR

SECURE

SECURITY

SEKUR

SPAM

SPERSKY

TEST

TREND

WWW

XEROX

XXX

YOUR

ZDNET

等等

8,自动收集机器上的电子邮件地址,并发送病毒程序过去。邮件内容为下列形式:

From:

Subject:[BLANK]

Message:

BRONTOK.A[By:H[REMOVED]MCommunity]

--JowoBot#VMCommunity--

等等

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航