Ответы Mail.ru
Компьютеры, Связь
Железо
Интернет
Мобильная связь
Мобильные устройства
Офисная техника
Программное обеспечение
Прочее компьютерное
Лидеры категории
Лена-пена
М.И.
Y.Nine
•••
Искусственный Интеллект
Искусственный Интеллект
Искусственный Интеллект
как избавится от вируса Brontok?
Nikolay Shiryaev
(529),
закрыт
15 лет назад
антивирус никак не уничтожит его до конца
Лучший ответ
Левищева Вера
(500)
15 лет назад
Есть такое дело, из безопасного режима во-первых, во вторых люди умные скриптик написали уже против него. В сети где-то бродил.
Остальные ответы
NoName))
(1156)
15 лет назад
Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Сетевые черви / Email-черви
Email-Worm.Win32.Brontok.q
Другие модификации: .a
Другие названия
Email-Worm.Win32.Brontok.q («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Детектирование добавлено 15 май 2006 19:08 MSK
Обновление выпущено 15 май 2006 20:24 MSK
Описание опубликовано 12 окт 2006
Поведение Email-Worm, почтовый червь
* Технические детали
* Деструктивная активность
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл) . Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
Инсталляция
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки» .
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
Например, при запуске редактора реестра выводится следующее сообщение:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:
%UserProfile%\Local Settings\Application Data\br<случайный номер>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
%WinDir%\sembako-<случайные символы>.exe
в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm-<случайные символы>.exe:
%WinDir%\ShellNew\bbm-<случайные символы>.exe
и в системный каталог Windows (%System%) под следующими именами:
%System%\DXBLBO.exe
%System%\cmd-bro-<случайные символы>.exe
%System%\%UserName%'s Setting.scr
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
%UserProfile%\%Autorun%\Empty.pif
в каталог шаблонов документов:
%UserProfile%\Шаблоны\<случайный номер>-NendangBro.com
и в каталог «Мои рисунки» каталога документов текущего пользователя:
%MyPictures%\Мои рисунки. exe
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html:
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
КОРОЧЕ ТЕПЕРЬ ВЫ РАССЫЛАЕТЕ ВИРУСЫ В ПОЧТЕ. УДАЛИТЕ
Email-Worm.Win32.Brontok.q
Другие модификации: .a
Другие названия
Email-Worm.Win32.Brontok.q («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Детектирование добавлено 15 май 2006 19:08 MSK
Обновление выпущено 15 май 2006 20:24 MSK
Описание опубликовано 12 окт 2006
Поведение Email-Worm, почтовый червь
* Технические детали
* Деструктивная активность
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл) . Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
Инсталляция
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки» .
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
Например, при запуске редактора реестра выводится следующее сообщение:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:
%UserProfile%\Local Settings\Application Data\br<случайный номер>on.exe
%UserProfile%\Local Settings\Application Data\csrss.exe
%UserProfile%\Local Settings\Application Data\inetinfo.exe
%UserProfile%\Local Settings\Application Data\lsass.exe
%UserProfile%\Local Settings\Application Data\services.exe
%UserProfile%\Local Settings\Application Data\smss.exe
%UserProfile%\Local Settings\Application Data\svchost.exe
%UserProfile%\Local Settings\Application Data\winlogon.exe
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
%WinDir%\sembako-<случайные символы>.exe
в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm-<случайные символы>.exe:
%WinDir%\ShellNew\bbm-<случайные символы>.exe
и в системный каталог Windows (%System%) под следующими именами:
%System%\DXBLBO.exe
%System%\cmd-bro-<случайные символы>.exe
%System%\%UserName%'s Setting.scr
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
%UserProfile%\%Autorun%\Empty.pif
в каталог шаблонов документов:
%UserProfile%\Шаблоны\<случайный номер>-NendangBro.com
и в каталог «Мои рисунки» каталога документов текущего пользователя:
%MyPictures%\Мои рисунки. exe
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html:
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
КОРОЧЕ ТЕПЕРЬ ВЫ РАССЫЛАЕТЕ ВИРУСЫ В ПОЧТЕ. УДАЛИТЕ
Алекс Прозак
(3737)
3 года назад
Звучит, конечно, забавно - однако я заразился этим чудом аж в 2020-м! Значит, "жив еще курилка")) Моего "питомца" звали Win32.Brontok.A - товарищ "из любви к прекрасному" (спортивного, то бишь, интереса) накатал на Delphi утилитку для его удаления, "Brontok Hunter" называется. Прибивает процессы виря, фиксит покоцанные им ключи реестра, удаляет его основные файлы и еще имеет сканер для поиска и убиения "детишек" червячка (то бишь, его многочисленных копий - есть у него к размножению страсть). Качнуть сей продукт творчества можно тута:
https://yadi.sk/d/p8xebcRpqHAVyg
https://yadi.sk/d/p8xebcRpqHAVyg
Похожие вопросы