投票
标题:近期的一个新病毒Worm. Brontok. a
LaughWOLVES
蕴含的太阳
Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5
祷告世界的终结


UID 9049
精华 2
积分 2028
帖子 573
狼毛 100 根
阅读权限 50
注册 2005-11-16
来自 世界终结之庭院
状态 离线
发表于 2006-7-29 16:07 资料 短消息  加为好友 
近期的一个新病毒Worm. Brontok. a

病毒名称为:小布朗(Worm. Brontok. a)

基本的特征为:病毒文件的图标为文件夹图标,除了病毒邮件外,还会通过移动存储设备传播。主要传播途径为U盘和电邮。

病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。


感染病毒后,生成以下文件:
%User%\Local Settings\Application Data\csrss.exe
%User%\Local Settings\Application Data\inetinfo.exe
%User%\Local Settings\Application Data\lsass.exe
%User%\Local Settings\Application Data\services.exe
%User%\Local Settings\Application Data\smss.exe
%User%\Local Settings\Application Data\winlogon.exe
%WinDir%\SHELLNEW\ElnorB.exe
%systemroot%\system32\<用户名>'s Setting.scr
%systemroot%\system32\system's Setting.scr
%systemroot%\Tasks\At1.job
%启动%\empty.pif

修改%systemdrive%\autoexec.bat文件,内容为:pause


添加启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

<"%User%\Local Settings\Application Data\smss.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<"%systemroot%\ShellNew\ElnorB.exe">
添加启动文件:%启动%\empty.pif
添加一个计划任务:%systemroot%\Tasks\At1.job,每天17:08激活病毒文件

添加或修改以下注册表项以禁用CMD,禁用注册表编辑器,隐藏文件夹选项菜单:
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableCMD: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000

病毒激活后,遍历硬盘,搜索以下类型的文件,获得邮箱地址,以伪造的邮件地址向外发送带毒邮件:HTM HTML TXT WAB ASP PHP CFM CSV DOC
调用ping.exe(ping playboy.com- n 250 -l 747)和net.exe(net view)
如果窗口标题含有“CMD”等字符串时,会自动重启电脑
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。

**********************************************************************
网上流言:

F8进入进入安全模式,输入regedit打开注册表,删除两个run项下的启动项目,在注册表中查找c:\winnt\shellnew\bronstab.exe.exe或许你的电脑是c:\windows\shellnew\bronstab.exe根据启动项目查看工具查出来的为准,或者不用启动项目查看工具直接到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]项修改"Shell"="Explorer.exe";在命令行下删除病毒文件,最重要的是删除开始/程序/启动中的empty快捷方式(empty.pif),因为病毒文件是隐藏的,这里有个命令要知道:dir /ah查看隐藏文件。
其他病毒文件可以在正常启动系统下删除,记得要去掉隐藏显示扩展名,或者用杀毒软件扫描一下应该可以删除掉。
附件有SYSINFOCOLLECT,可以查看启动项目,还有其他功能使用时可以只查看启动项目;和一个解除注册表限制的注册表文件,双击导入就行。





大自然说一,智慧从不说二.......$_^
 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-20 07:36
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.006323 second(s), 6 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP