Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

BackDoor.Generic.1138

(Generic.Brontok.98460AED, WORM_Generic, Parser error, Virus.Win32.Dzan.a, Worm/Brontok.F.2, W32/Rontokbro.gen@MM, Worm:Win32/Brontok.FEC, Email-Worm.Win32.Brontok.a, I-Worm/Brontok.EV, Win32.Brontok.AP@mm, Worm/VB.ay.2, WORM_BRONTOK.A, Worm/Korbo.A, Worm/Rontokbro.D, TR/Brontok.32768, Generic.Brontok.CCFCC1DF, PE_STAYT.A, Win32.Brontok.BL@mm, Email-Worm.Win32.Brontok.c, I-Worm/Brontok.C, Worm/Brontok.C, I-Worm/VB.JM, Trojan.Agent.AIAC, WORM_RONTKBR.O, Worm/Brontok.D, Win32/Brontok.BC@mm, Worm/Brontok.s.2)

Описание добавлено:

Тип вируса: Сетевой червь

Размер: 81902 байт

Уязвимые ОС: Win95/98/NT/2k/XP/2k3

Упакован: -

Техническая информация

  • Написан на Microsoft Visual Basic 6.0.
  • При своём запуске открывает в Проводнике Windows каталог Мои Документы.
  • Создаёт копию в C:\WINDOWS\INF\norBtok.exe, которую регистрирует в секции автозапуска системного реестра:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
    Bron-Spizaetus = C:\WINDOWS\INF\norBtok.exe
    А также
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
    Tok-Cirrhatus = %USERPROFILE%\Local Settings\Application Data\smss.exe

    Некоторые модификации BackDoor.Generic.1138 создают свою копию в каталоге %WINDIR%\SHELLNEW\sempalong.exe, которую регистрирует в секции автозагрузки системного реестра -
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run\. Кроме того, создаёт копию в системном каталоге с именем eksplorasi.exe, которую регистрирует в следующей секции реестра:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
    "Shell" = Explorer.exe eksplorasi.exe

  • Создаёт файлы в следующих каталогах:
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\smss.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\services.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\lsass.exe
    C:\Documents and Settings\%USERPROFILE%\Local Settings\Application Data\inetinfo.exe
    C:\Documents and Settings\%USERPROFILE%\Templates\A.kotnorB.com
    C:\WINDOWS\system32\3D Animation.scr
  • Создаёт свою копию в меню "Пуск"с именем Empty.pif:
    C:\Documents and Settings\%USERPROFILE%\Start Menu\Programs\Startup\Empty.pif
  • Модифицирует файл Autoexec.bat, внося в него строку pause
  • Блокриует запуск утилит работы с реестром Regedit и Regedt32, модифицируя значение ключа
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,
    подключение командной строки:
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD
    а также установку режима отображения файлов и папок в Проводнике:
    HKСU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
  • Создаёт текстовый файл с следующим содержанием:

    "Brontok.A
    By: HVM31
    -- JowoBot #VM Community --"

  • Помимо этого помещает свои копии во все катологи, причём имя файла при этом совпадает с именем целевого каталога. Если в каталоге уже существовал файл с тем же именем, червь замещает его своей копией.
  • Рассылает свои копии по найденным в поражённой системе адресам, напрямую соединяясь с SMTP-серверами, содержащими в своих названиях следующие комбинации:

    smtp.
    mail.
    ns1.

  • Адреса для своей рассылки червь ищет, просматривая следующие файлы:

    HTM
    HTML
    .TXT
    .EML
    .WAB
    .ASP
    .PHP
    .CFM
    .CSV
    .DOC
    .HTT

  • Тело письма представляет собой содержимое HTML-файла (about.Brontok.A.html):

    BRONTOK.A[ 18 ]NorBet
    -- Hentikan kebobrokan di negeri ini --
    1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
    ( Send to "NUSAKAMBANGAN")
    2. Stop Free Sex, Absorsi, & Prostitusi
    3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
    4. SAY NO TO DRUGS !!!
    -- KIAMAT SUDAH DEKAT --

  • Вложение представляет собой файл Kangen.exe
  • Адрес отправителя является поддельным.
  • Червь отслеживает заголовки активных окон. В случае обнаружения указанных ниже подстрок перезагружает систему:

    ADMIN
    ADOBE
    AHNLAB
    ALADDIN
    ALERT
    ALWIL
    ANTIGEN
    APACHE
    APPLICATION
    ARCHIEVE
    ASDF
    ASSOCIATE
    AVAST
    AVG
    AVIRA
    BILLING@
    BLACK
    BLAH
    BLEEP
    BUILDER
    CANON
    CENTER
    CILLIN
    CISCO
    CMD.
    CNET
    COMMAND
    COMMAND PROMPT
    CONTOH
    CONTROL
    CRACK
    DARK
    DATA
    DATABASE
    DEMO
    DETIK
    DEVELOP
    DOMAIN
    DOWNLOAD
    ESAFE
    ESAVE
    ESCAN
    EXAMPLE
    FEEDBACK
    FIREWALL
    FOO@
    FUCK
    FUJITSU
    GATEWAY
    GOOGLE
    GRISOFT
    GROUP
    HACK
    HAURI
    HIDDEN
    HP.
    IBM.
    INFO@
    INTEL.
    KOMPUTER
    LINUX
    LOG OFF WINDOWS
    LOTUS
    MACRO
    MALWARE
    MASTER
    MCAFEE
    MICRO
    MICROSOFT
    MOZILLA
    MYSQL
    NETSCAPE
    NETWORK
    NEWS
    NOD32
    NOKIA
    NORMAN
    NORTON
    NOVELL
    NVIDIA
    OPERA
    OVERTURE
    PANDA
    PATCH
    POSTGRE
    PROGRAM
    PROLAND
    PROMPT
    PROTECT
    PROXY
    RECIPIENT
    REGISTRY
    RELAY
    RESPONSE
    ROBOT
    SCAN
    SCRIPT HOST
    SEARCH R
    SECURE
    SECURITY
    SEKUR
    SENIOR
    SERVER
    SERVICE
    SHUT DOWN
    SIEMENS
    SMTP
    SOFT
    SOME
    SOPHOS
    SOURCE
    SPAM
    SPERSKY
    SUN.
    SUPPORT
    SYBARI
    SYMANTEC
    SYSTEM CONFIGURATION
    TEST
    TREND
    TRUST
    UPDATE
    UTILITY
    VAKSIN
    VIRUS
    W3.
    WINDOWS SECURITY.VBS
    WWW
    XEROX
    XXX
    YOUR
    ZDNET
    ZEND
    ZOMBIE

  • Рекомендации по лечению

    1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
    2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
    Скачать Dr.Web

    По серийному номеру

    Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

    На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

    Скачать Dr.Web

    По серийному номеру

    1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
    2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
      • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
      • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
      • выключите устройство и включите его в обычном режиме.

    Подробнее о Dr.Web для Android

    Демо бесплатно на 14 дней

    Выдаётся при установке