Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Win32.HLLM.Generic.440

(WORM_BRONTOK.BA, Win32.Brontok.MO, Worm/Brontok.A, W32/Rontokbro.gen@MM, I-Worm/Brontok.EE, Email-Worm.Win32.Brontok.a, Email-Worm.Win32.Brontok.q, PE_DAVS.A, Worm:Win32/Brontok@mm, WORM_RONTOKBRO.R, I-Worm/VB.IM, Generic.Brontok.AD6297BF, Worm/Korbo.A, WORM_BRONTOK.A, I-Worm/Brontok.C, Email-Worm.Win32.Brontok.c, Worm/Brontok.C, PE_STAYT.A, Win32/Brontok.BU@mm, Win32.Brontok.F@mm, Generic.Brontok.9139BF2C, Trojan.Agent.AIAC, Worm/Brontok.s.2)

Добавлен в вирусную базу Dr.Web: 2007-10-23

Описание добавлено:

Тип вируса: Сетевой червь

Размер: 43 403 байт

Уязвимые ОС: Win95/98/NT/2k/XP/2k3

Упакован: -

Техническая информация

  • Написан на Microsoft Visual Basic 6.0.
  • При своём запуске открывает в Проводнике Windows каталог Мои Документы.
  • Создаёт копию в C:\WINDOWS\INF\norBtok.exe, которую регистрирует в секции автозапуска системного реестра:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    Bron-Spizaetus = C:\WINDOWS\INF\norBtok.exe
    А также
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
    Tok-Cirrhatus = %USERPROFILE%\Local Settings\Application Data\smss.exe

  • Создаёт файлы в следующих каталогах:
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\smss.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\services.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\lsass.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    C:\Documents and Settings\%USERPROFILE%\Templates\A.kotnorB.com
    C:\WINDOWS\system32\3D Animation.scr
  • Создаёт свою копию в меню "Пуск"с именем Empty.pif:
    C:\Documents and Settings\%USERPROFILE%\Start Menu\Programs\Startup\Empty.pif
  • Модифицирует файл Autoexec.bat, внося в него строку pause
  • Блокриует запуск утилит работы с реестром Regedit и Regedt32, модифицируя значение ключа
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools, подключение командной строки:
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD
    а также установку режима отображения файлов и папок в проводнике:
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
  • Создаёт текстовый файл с следующим содержанием:

    "Brontok.A
    By: HVM31
    -- JowoBot #VM Community --"

  • Помимо этого помещает свои копии во все катологи, причём имя файла при этом совпадает с именем целевого каталога. Если в каталоге уже существовал файл с тем же именем, червь замещает его своей копией.
  • Рассылает свои копии по найденным в поражённой системе адресам напрямую соединяясь с SMTP-серверами, содержащими в своих названиях следующие комбинации:

    smtp.
    mail.
    ns1.

  • Адреса для своей рассылки червь ищет, просматривая следующие файлы:

    HTM
    HTML
    .TXT
    .EML
    .WAB
    .ASP
    .PHP
    .CFM
    .CSV
    .DOC
    .HTT

  • Тело письма представляет собой содержимое HTML-файла (about.Brontok.A.html):

    BRONTOK.A[ 18 ]юТщкИуе
    -- Hentikan kebobrokan di negeri ini --
    1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
    ( Send to "NUSAKAMBANGAN")
    2. Stop Free Sex, Absorsi, & Prostitusi
    3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
    4. SAY NO TO DRUGS !!!
    -- KIAMAT SUDAH DEKAT --

  • Вложение представляет собой файл Kangen.exe
  • Адрес отправителя является поддельным.
  • Червь отслеживает заголовки активных окон. В случае обнаружения указанных ниже подстрок перезагружает систему:

    ADMIN
    ADOBE
    AHNLAB
    ALADDIN
    ALERT
    ALWIL
    ANTIGEN
    APACHE
    APPLICATION
    ARCHIEVE
    ASDF
    ASSOCIATE
    AVAST
    AVG
    AVIRA
    BILLING@
    BLACK
    BLAH
    BLEEP
    BUILDER
    CANON
    CENTER
    CILLIN
    CISCO
    CMD.
    CNET
    COMMAND
    COMMAND PROMPT
    CONTOH
    CONTROL
    CRACK
    DARK
    DATA
    DATABASE
    DEMO
    DETIK
    DEVELOP
    DOMAIN
    DOWNLOAD
    ESAFE
    ESAVE
    ESCAN
    EXAMPLE
    FEEDBACK
    FIREWALL
    FOO@
    FUCK
    FUJITSU
    GATEWAY
    GOOGLE
    GRISOFT
    GROUP
    HACK
    HAURI
    HIDDEN
    HP.
    IBM.
    INFO@
    INTEL.
    KOMPUTER
    LINUX
    LOG OFF WINDOWS
    LOTUS
    MACRO
    MALWARE
    MASTER
    MCAFEE
    MICRO
    MICROSOFT
    MOZILLA
    MYSQL
    NETSCAPE
    NETWORK
    NEWS
    NOD32
    NOKIA
    NORMAN
    NORTON
    NOVELL
    NVIDIA
    OPERA
    OVERTURE
    PANDA
    PATCH
    POSTGRE
    PROGRAM
    PROLAND
    PROMPT
    PROTECT
    PROXY
    RECIPIENT
    REGISTRY
    RELAY
    RESPONSE
    ROBOT
    SCAN
    SCRIPT HOST
    SEARCH R
    SECURE
    SECURITY
    SEKUR
    SENIOR
    SERVER
    SERVICE
    SHUT DOWN
    SIEMENS
    SMTP
    SOFT
    SOME
    SOPHOS
    SOURCE
    SPAM
    SPERSKY
    SUN.
    SUPPORT
    SYBARI
    SYMANTEC
    SYSTEM CONFIGURATION
    TEST
    TREND
    TRUST
    UPDATE
    UTILITY
    VAKSIN
    VIRUS
    W3.
    WINDOWS SECURITY.VBS
    WWW
    XEROX
    XXX
    YOUR
    ZDNET
    ZEND
    ZOMBIE

  • Информация по восстановлению системы

    1. Отключить инфицированный компьютер от локальной сети и\или Интернета и отключить службу Восстановления системы.
    2. С заведомо неинфицированного компьютера скачать бесплатную лечащую утилиту Dr.Web CureIt! и записать её на внешний носитель.
    3. Инфицированный компьютер перезагрузить в Безопасный режим (F8 при старте Windows) и просканировать инфицированный компьютер Dr.Web CureIt!. Для найденных объектов применить действие "Лечить".