游客:
注册
|
登录
|
会员
|
帮助
狼窝论坛
»
电脑休闲吧
» 近期的一个新病毒Worm. Brontok. a
‹‹ 上一主题
|
下一主题 ››
投票
交易
悬赏
活动
打印
|
推荐
|
订阅
|
收藏
标题:近期的一个新病毒Worm. Brontok. a
LaughWOLVES
蕴含的太阳
祷告世界的终结
UID 9049
精华
2
积分 2028
帖子 573
狼毛 100 根
阅读权限 50
注册 2005-11-16
来自 世界终结之庭院
状态 离线
#1
使用道具
发表于 2006-7-29 16:07
资料
短消息
加为好友
近期的一个新病毒Worm. Brontok. a
病毒名称为:小布朗(Worm. Brontok. a)
基本的特征为:病毒文件的图标为文件夹图标,除了病毒邮件外,还会通过移动存储设备传播。主要传播途径为U盘和电邮。
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。
感染病毒后,生成以下文件:
%User%\Local Settings\Application Data\csrss.exe
%User%\Local Settings\Application Data\inetinfo.exe
%User%\Local Settings\Application Data\lsass.exe
%User%\Local Settings\Application Data\services.exe
%User%\Local Settings\Application Data\smss.exe
%User%\Local Settings\Application Data\winlogon.exe
%WinDir%\SHELLNEW\ElnorB.exe
%systemroot%\system32\<用户名>'s Setting.scr
%systemroot%\system32\system's Setting.scr
%systemroot%\Tasks\At1.job
%启动%\empty.pif
修改%systemdrive%\autoexec.bat文件,内容为:pause
添加启动项:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<"%User%\Local Settings\Application Data\smss.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<"%systemroot%\ShellNew\ElnorB.exe">
添加启动文件:%启动%\empty.pif
添加一个计划任务:%systemroot%\Tasks\At1.job,每天17:08激活病毒文件
添加或修改以下注册表项以禁用CMD,禁用注册表编辑器,隐藏文件夹选项菜单:
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableCMD: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden: 0x00000000
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt: 0x00000001
HKU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden: 0x00000000
病毒激活后,遍历硬盘,搜索以下类型的文件,获得邮箱地址,以伪造的邮件地址向外发送带毒邮件:HTM HTML TXT WAB ASP PHP CFM CSV DOC
调用ping.exe(ping playboy.com- n 250 -l 747)和net.exe(net view)
如果窗口标题含有“CMD”等字符串时,会自动重启电脑
病毒会在打开的文件夹下生成一个病毒副本文件名与当前文件夹相同,且图标为文件夹图标,双击后打开我的文档,极具迷惑性。
当有移动存储设备接入时,在根目录下生成病毒副本ADMINISTRATOR.exe和一个autorun.inf文件以实现通过移动存储设备感染。
**********************************************************************
网上流言:
F8进入进入安全模式,输入regedit打开注册表,删除两个run项下的启动项目,在注册表中查找c:\winnt\shellnew\bronstab.exe.exe或许你的电脑是c:\windows\shellnew\bronstab.exe根据启动项目查看工具查出来的为准,或者不用启动项目查看工具直接到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]项修改"Shell"="Explorer.exe";在命令行下删除病毒文件,最重要的是删除开始/程序/启动中的empty快捷方式(empty.pif),因为病毒文件是隐藏的,这里有个命令要知道:dir /ah查看隐藏文件。
其他病毒文件可以在正常启动系统下删除,记得要去掉隐藏显示扩展名,或者用杀毒软件扫描一下应该可以删除掉。
附件有SYSINFOCOLLECT,可以查看启动项目,还有其他功能使用时可以只查看启动项目;和一个解除注册表限制的注册表文件,双击导入就行。
大自然说一,智慧从不说二.......$_^
投票
交易
悬赏
活动
狼窝论坛
-=>狼窝推荐专题
> 怀旧游戏陈列馆
> 游戏讨论区
> 游戏音乐专题
> RPG MAKER专区
> 游戏资源区
> 动漫专题
> 视频专区
-=>狼窝讨论区
> 狼的小窝
> 影音专区
> 视觉诱惑
> 狼毫墨砚
> 琴韵斋
> 幽冥堂
> 电脑休闲吧
> 体育游戏专区
-=>狼窝站务区
> 事务所
控制面板首页
编辑个人资料
积分交易
公众用户组
好友列表
基本概况
流量统计
客户软件
发帖量记录
论坛排行
主题排行
发帖排行
积分排行
在线时间
管理团队
管理统计
当前时区 GMT+8, 现在时间是 2024-11-20 07:36
苏ICP备2024131517号
Powered by
Discuz!
5.5.0
© 2001-2007
Processed in 0.006323 second(s), 6 queries, Gzip enabled
TOP
清除 Cookies
-
联系我们
-
狼窝
-
Archiver
-
WAP