邮件传播的VB毒,无敌了``
文件名称:bronstab.exe、eksplorasi.pif、WowTumpeh.com等
文件大小:103047 byte
AV命名:Email-Worm.Win32.Brontok.A(IKARUS ) W32.Rontokbro.D@mm(偌顿)
加壳方式: MEW 11 1.2 -> NorthFox/HCC
编写语言: Microsoft Visual Basic 5.0 / 6.0
病毒类型:Mail类蠕虫
文件MD5:383e53cc802ea41ac4e9685babf471ad
传播方式:Email
行为分析:
1、释放病毒副本,沆瀣一气:
C:\Documents and Settings\admin\「开始」菜单\程序\启动\Empty.pif
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin's Setting.scr
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin's Setting.scr
以上病毒大小均为103047 字节,修改日期为当日。
2、添加注册表,开机启动:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表值Tok-Cirrhatus指向:C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
注册表值Tok-Cirrhatus指向:C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值Bron-Spizaetus指向:C:\WINNT\ShellNew\bronstab.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
"Explorer.exe "C:\WINNT\eksplorasi.pif"
"Explorer.exe "C:\WINNT\eksplorasi.pif"
(依附Explorer后启动)
3、修改注册表。禁用CMD、注册表、文件夹选项、显示隐藏文件等等。
4、其中驻进程的伪Lasss.exe、Winlogon.exe、Services.exe使用三进程相互守护。
每隔一段时间检测对方是否存在,若不在则重新加载。
并隔3秒检查一次注册表启动项,如果被删除的话,则重新写回。
5、调用At启用计划任务,预计每天17:08执行病毒副本(WowTumpeh.com)。(汗)
6、查找硬盘
HTML
.TXT
.EML
.WAB
.ASP
.PHP
.CFM
.CSV
.DOC
.XLS
.PDF
.PPT
.TXT
.EML
.WAB
.ASP
.PHP
.CFM
.CSV
.DOC
.XLS
.PPT
.HTT
类型文件,读取邮箱地址.
并保存至C:\Documents and Settings\admin\Local Settings\Application Data\Loc.Mail.Bron.Tok
PS:如遇到FOLDER.HTT文件则删除。
7、每隔3分钟连接66.218.77.68(Yahoo邮箱服务器)。
先执行ping playboy.com -n 250 -l 747命令判断网路是否通(Ping250次,747大小的数据包)。
并把数据包内容填充Hosts文件。。-_-!
后读取Loc.Mail.Bron.Tok邮箱列表,发送垃圾邮件与病毒附件。
落款可能是:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
By: HVM31
-- JowoBot #VM Community --
8、查找:
MY DATA SOURCES
MY EBOOKS
MY MUSIC
MY PICTURES
MY SHAPES
MY VIDEOS
MY DOCUMENTS
MY EBOOKS
MY MUSIC
MY PICTURES
MY SHAPES
MY VIDEOS
MY DOCUMENTS
文件夹,将其目录下的子文件夹为名字复制病毒副本。
例如:
D:\My Documents\My QQ Files\My QQ Files.exe。
9、查找窗口,遇到特定的名称,则执行关闭系统命令。
判断方式未知。
解决方法:
1、下载冰刃、SREng,可网上搜索,或者到:
[url]http://gudugengkekao.ys168.com/[/url]下载:
冰刃.rar 2,110KB
sreng2.5.zip 780KB
2、断开网络连接,关闭不需要的进程。
3、打开冰刃,同时选上伪系统文件:Lasss.exe、Winlogon.exe、Services.exe(文件夹图标)并同时结束其进程。
4、打开SREng,它会提示你Explorer项被非法修改,点确定后自动修复。
然后删除注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表值Tok-Cirrhatus指向:C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
注册表值Tok-Cirrhatus指向:C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值Bron-Spizaetus指向:C:\WINNT\ShellNew\bronstab.exe
还有个启动项,千万不要漏了!!在:
「开始」菜单\程序\启动\Empty.pif。
一定要删除掉。
5、用SREng修复其他注册表项,也可以自己找工具修复。
6、重启电脑,删除:
C:\Documents and Settings\admin\「开始」菜单\程序\启动\Empty.pif
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin's Setting.scr
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin's Setting.scr
PS:分析快结束的时候死机了一次,浪费了半小时,太阳!
AD:反病毒交流群48563310