安全响应·Security
病毒分析报告·Report

Email-Worm.Win32.Brontok.c分析

出处:安天实验室 2006 年 02 月 08 日
安天CERT

病毒标签:

病毒名称: Email-Worm.Win32.Brontok.c
病毒类型: 邮件蠕虫
文件 MD5: E6992FD5D92DD01D51DCBE186F0CC6C7
公开范围: 完全公开
危害等级: 中
文件长度: 81,920 字节
感染系统: windows 98及以上版本
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳类型: MEW 11 1.2 -> NorthFox/HCC
命名对照: Symentec[无]
      Mcafee[无]
病毒描述:
  该病毒属邮件蠕虫类,病毒主要利用发送含有病毒附件的邮件传播。病毒盗用windows xp 下文件夹图标,诱骗用户浏览。病毒运行后首先会修改注册表文件,添加病毒副本到启动项等,修改其中安全相关的配置,降低系统的安全性能,禁用任务管理器,而后又禁用注册表编辑器,尽量阻止用户手工清除该病毒。复制原病毒副本到系统所在驱动器下,通过查找某些扩展名的文件获取其中的邮件地址,而后发送含有病毒附件的邮件,达到传播的目的。病毒运行后系统会变得较慢,甚至还会导致系统重启动。该病毒对用户有一定的危害。
行为分析:

1、修改注册表项:
 达到隐藏的目的:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\HideFileExt
新: DWORD: 1 (0x1)
旧: DWORD: 0 (0)
随Explorer.exe、系统启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\Shell
新: 字符串: "Explorer.exe "%windir%\eksplorasi.exe""
旧: 字符串: "Explorer.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows
\ CurrentVersion\Run\Tok-Cirrhatus
值: 字符串: "% Documents and Settings%\Administrator
\Local Settings\Application Data\smss.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run\Bron-Spizaetus
值: 字符串: "$ windir%\ShellNew\sempalong.exe""

2、病毒会复制原病毒附本到以下位置:

%system%administrator's setting.scr
%windir%shellnew
%windir%eksplorasi.exe
%HOMEDRIVE%\!Submit\winword.exe
%HOMEDRIVE%\!Submit\xpshare.exe
%HOMEDRIVE%\windows\Systray.exe

3、病毒还会尝试复制原病毒副本到%Profiles%\Local Settings\Application Data文件夹下:
文件名可能为:

CSRSS.EXE
INETINFO.EXE
LSASS.EXE
SERVICES.EXE
SMSS.EXE
WINLOGON.EXE

 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32windows95/98/me中默认的安装路径是C:\Windows\SystemwindowsXP中默认的安装路径是C:\Windows\System32
清除方案:
 

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除%Profiles%\Local Settings\Application Data文件夹下的病毒文件
(3) 恢复病毒修改的注册表项目,删除病毒添加的注册表项
修改以下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Hidden
字符:DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\HideFileExt
字符: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\Winlogon\Shell
字符:"Explorer.exe"
删除以下键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Run\Tok-Cirrhatus
值: 字符串: "% Documents and Settings%\Administrator
\Local Settings\Application Data\smss.exe""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\Bron-Spizaetus
值: 字符串: "$ windir%\ShellNew\sempalong.exe""
附:
 

点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]