安全响应·Security
病毒分析报告·Report

Email-Worm.Win32.Brontok.q分析

出处:安天实验室 时间:2007-05-24 14:00

病毒标签:

病毒名称: Email-Worm.Win32.Brontok.q
中文名称: 布朗克变种
病毒类型: 蠕虫类
文件 MD5: 41BC917A697AB13ECB4C97496300080B
公开范围: 完全公开
危害等级: 5
文件长度: 脱壳前 45,417 字节,脱壳后273,408 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual Basic 5.0 / 6.0
加壳工具: MEW 11 1.2 -> NorthFox/HCC
命名对照: Symantec [W32.Rontokbro@mm]
      Avast![ Win32:Brontok-I]
      Sophos [W32/Korbo-B ]
      DrWeb[BackDoor.Generic.1138]
      McAfee[W32/Rontokbro.gen@MM]
      FRISK [W32/Brontok.C@mm]

病毒描述:

  该病毒运行后,衍生病毒文件到多个目录下,添加注册表随机运行项以跟随系统启动。并
添计划任务、更改文件执行映射、使用“文件夹”图标欺骗等手段,保证病毒体运行。当病毒
运行时,检查是否有不利于病毒的程序存在,如有则重新启动计算机。病毒会禁用注册表,关
闭“文件夹选项”,去掉查看隐藏文件设置。搜索本地 E-mail地址发送病毒副本传播。此病毒
并不会一次性释放完所有的病毒行为,所以会因为感染的不同程度,感染后的效果也不一样。
行为分析:

1 、衍生下列副本与文件:

    %Documents and Settings%\ 当用用户名 \Templates\6876-NendangBro.com
    %Documents and Settings%\ 当前用户名 \Application Data\csrss.exe
    %Documents and Settings%\ 当前用户名 \Application Data\inetinfo.exe
    %Documents and Settings%\ 当前用户名 \Application Data\ListHost14.txt
    %Documents and Settings%\ 当前用户名 \Application Data\lsass.exe
    %Documents and Settings%\ 当前用户名 \Application Data\services.exe
    %Documents and Settings%\ 当前用户名 \Application Data\smss.exe
    %Documents and Settings%\ 当前用户名 \Application Data\svchost.exe
    %Documents and Settings%\ 当前用户名 \Application Data\br4347on.exe
    %Documents and Settings%\ 当前用户名 \Application Data\Bron.tok-17-24\
    %Documents and Settings\ 当前用户名 \ 「开始」菜单 \ 程序 \ 启动 \ Empty.pif
    %WinDir%\KesenjanganSosial.exe
    %System32%\ antiy's Setting.scr
    %System32%\ cmd-brontok.exe
    %WinDir%\ShellNew\RakyatKelaparan.exe

2 、新建注册表键值:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
    Run\Bron-Spizaetus
    Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Run\Tok-Cirrhatus-1662
    Value: String: ""%Documents and Settings%\ 当前用户名 \
    Local Settings\Application Data\br4347on.exe""

3 、修改下列注册表键值:

    \Documents and Settings\ 当前用户名 \ 「开始」菜单 \ 程序 \ 启动 \ Empty.pif
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
    CurrentVersion\Winlogon\Shell
    New: String: "Explorer.exe "%WINDdir%\KesenjanganSosial.exe""
    Old:String:"Explorer.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced\Hidden
    New: DWORD: 0 (0)
    Old: DWORD: 1 (0x1)
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced\HideFileExt
    New: DWORD: 1 (0x1)
    Old: DWORD: 0 (0)
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
    Explorer\Advanced\ShowSuperHidden
    New: DWORD: 0 (0)
    Old: DWORD: 1 (0x1)
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell
    New: String: "cmd-brontok.exe"
    Old: String: "cmd.exe"

4 、添加多个执行病毒副本的计划任务,名称为 At1 、 At2 、依次排列:

    名称 : At1
    执行路径: "%Documents and Settings\ 当用的用户名 \
    Templates\6876-NendangBro.com"
    执行时间:每天的 17:08 或 11.03

5 、检索下列文件夹中邮件地信息:

    my ebooks
    my data sources
    my music
    my pictures
    my shapes
    my documentes

6 、邮件地址从包含下列字符串的文件中获得:

    .html .htm .txt .eml .wab .asp .php .cfm .csv .doc .pdf .xls .ppt .htt

7 、感染即插式存储器,遍历存储器内所有目录,以目录名命名病毒副本,复制副本到每个
  目录下,包括根目录,并在存储器根目录上生成 Atuorun.inf 文件,以实现用户双击盘
  符时运行病毒体。

8 、访问下列服务器地址:

    www.n*t4f*ee.org(6*.2*.1*4.*1)
    www.*p*q*.com(6*.2*.7.1*6)
    www.l*r*c*b*ok.net(6*.2*.*.1*6)
    www.2*m*w*b.com(6*.2*.1*4.*1)/ nodoc/
    www.2*m*w*b.com(6*.2*.1*4.*1)/ News/cmbrosji1/IN17.css

9 、在根目录下创建 about.brontok.a.html ,不定时会弹出:

    
    
    创建 kosong.bron.tok.txt, 内容为:
    Brontok.a
    By: hvm31
    -- jowobot #vm community --

10 、发送带有病毒副本附件的邮件,附件名从病毒建立的 !submit 目录下随机选取,如:

    winword.exe
    xpshare.exe

11 、可能会修改 host 文件,以阻止用户或用户程序访问安全类网站。

12 、病毒会检查程序窗口标题,如含有下列字符串,则重启计算机:
    . ASP  .EXE  .HTM  .JS  .PHP  ADMIN  ADOBE  AHNLAB  ALADDIN  ALERT
    ALWIL  ANTIGEN  APACHE  APPLICATION  ARCHIEVE  ASDF  ASSOCIATE  AVAST
    AVG  AVIRA  BILLING@  BLACK  BLAH  BLEEP  BUILDER  CANON  CENTER
    CILLIN  CISCO  CMD. CNET  COMMAND  COMMAND  PROMPT  CONTOH CONTROL
    CRACK  DARK  DATA  DATABASE  DEMO  DETIK  DEVELOP  DOMAIN  DOWNLOAD
    ESAFE  ESAVE  ESCAN  EXAMPLE  FEEDBACK  FIREWALL  FOO@  FUCK  FUJITSU
    GATEWAY  GOOGLE  GRISOFT  GROUP  HACK   HAURI  HIDDEN  HP.  IBM.
    INFO@  INTEL.  KOMPUTER  LINUX  LOG  OFF  WINDOWS   LOTUS  MACRO 
    MALWARE  MASTER  MCAFEE  MICRO  MICROSOFT  MOZILLA  MYSQL   NETSCAPE
    NETWORK  NEWS  NOD32  NOKIA  NORMAN  NORTON  NOVELL  NVIDIA  OPERA
    OVERTURE  PANDA  PATCH  POSTGRE  PROGRAM  PROLAND  PROMPT  PROTECT
    PROXY  RECIPIENT  REGISTRY  RELAY  RESPONSE  ROBOT  SCAN  SCRIPT  
    HOST  SEARCH  R   SECURE  SECURITY  SEKUR  SENIOR  SERVER  SERVICE
    SHUT  DOWN  SIEMENS  SMTP  SOFT  SOME  SOPHOS  SOURCE  SPAM  SPERSKY
    SUN.  SUPPORT  SYBARI  SYMANTEC  SYSTEM  CONFIGURATION  TEST  TREND
    TRUST  UPDATE  UTILITY  VAKSIN  VIRUS  W3.  WINDOWS  SECURITY. VBS
    WWW  XEROX  XXX  YOUR  ZDNET  ZEND  ZOMBIE

注: % System% 是一个可变路径。病毒通过查询操作系统来决定当前 System 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 , windows95/98/me 中默认的安装
路径是 C:\Windows\System , windowsXP 中默认的安装路径是 C:\Windows\System32 。

清除方案:
 

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1) 使用安天木马防线断开网络,结束病毒进程:
      %Documents and Settings%\ 当用的用户名 \
      Templates\6876-NendangBro.com
      %Documents and Settings%\ 当前用户名 \
      Application Data\csrss.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\inetinfo.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\ListHost14.txt
      %Documents and Settings%\ 当前用户名 \
      Application Data\lsass.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\services.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\smss.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\svchost.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\br4347on.ex
    (2) 在“运行”中输入 gpedit.msc ,打开“组策略”,将下列项
      设置为“禁用” 。
      1)、用户配置 = 》管理模板 = 》 Windows 资源管理器 = 》
      从“工具”菜单中删除“文件夹选项”菜单
      2)、用户配置 = 》管理模板 = 》系统 = 》阻止访问注册表编辑工具
      3)、用户配置 = 》管理模板 = 》系统 = 》阻止访问命令提示符
    (3) 删除下列注册表键值:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
      CurrentVersion\Run\ Bron-Spizaetus
      Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""
      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Run\Tok-Cirrhatus-1662
      Value: String: ""%Documents and Settings%\
      当前用户名 \Local Settings\Application ata\br4347on.exe""
    (4) 恢复下列注册表键值为旧值:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\
      CurrentVersion\Winlogon\Shell
      New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""
      Old: String: "Explorer.exe"
      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Explorer\Advanced\Hidden
      New: DWORD: 0 (0)
      Old: DWORD: 1 (0x1)
      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Explorer\Advanced\HideFileExt
      New: DWORD: 1 (0x1)
      Old: DWORD: 0 (0)
      HKEY_CURRENT_USER\Software\Microsoft\Windows\
      CurrentVersion\Explorer\Advanced\ShowSuperHidden
      New: DWORD: 0 (0)
      Old: DWORD: 1 (0x1)
      HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
      Control\SafeBoot\AlternateShell
      New: String: "cmd-brontok.exe"
      Old: String: "cmd.exe"
    (5) 删除病毒释放文件:
      %Documents and Settings%\ 当用的用户名 \
      Templates\6876-NendangBro.com
      %Documents and Settings%\ 当前用户名 \
      Application Data\csrss.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\inetinfo.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\ListHost14.txt
      %Documents and Settings%\ 当前用户名 \
      Application Data\lsass.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\services.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\smss.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\svchost.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\br4347on.exe
      %Documents and Settings%\ 当前用户名 \
      Application Data\Bron.tok-17-24\
      %Documents and Settings\ 当前用户名 \
      「开始」菜单 \ 程序 \ 启动 \ Empty.pif
      %WinDir%\KesenjanganSosial.exe
      %System32%\ antiy's Setting.scr
      %System32%\ cmd-brontok.exe
      %WinDir%\ShellNew\RakyatKelaparan.exe
    (6) 删除病毒添加的计划任务。
    (7) 建议用安天木马防线全描扫描所有磁盘。

附:
 


点击此处下载木马防线2005+

病毒上报信箱: submit@virusview.net
[TOP]