brontok

Ответ от NoName))[гуру]
Главная / Вирусы / Вирусная энциклопедия / Описания вредоносных программ / Сетевые черви / Email-черви
Email-Worm.Win32.Brontok.q
Другие модификации: .a
Другие названия
Email-Worm.Win32.Brontok.q («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)
Детектирование добавлено 15 май 2006 19:08 MSK
Обновление выпущено 15 май 2006 20:24 MSK
Описание опубликовано 12 окт 2006
Поведение Email-Worm, почтовый червь
* Технические детали
* Деструктивная активность
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл) . Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
Инсталляция
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки» .
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"="1"
"DisableCMD"="0"
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden"="0"
"HideFileExt"="1"
"ShowSuperHidden"="0"
[HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
"NoFolderOptions"="1"
Например, при запуске редактора реестра выводится следующее сообщение:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%Local SettingsApplication Data) и копирует свое тело в этот каталог под следующими именами:
%UserProfile%Local SettingsApplication Datar<случайный номер>on.exe
%UserProfile%Local SettingsApplication Datacsrss.exe
%UserProfile%Local SettingsApplication Datainetinfo.exe
%UserProfile%Local SettingsApplication Datalsass.exe
%UserProfile%Local SettingsApplication Dataservices.exe
%UserProfile%Local SettingsApplication Datasmss.exe
%UserProfile%Local SettingsApplication Datasvchost.exe
%UserProfile%Local SettingsApplication Datawinlogon.exe
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Brontok.A
By: HVM31
-- JowoBot #VM Community --
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
%WinDir%sembako-<случайные символы>.exe
в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm-<случайные символы>.exe:
%WinDir%ShellNewbm-<случайные символы>.exe
и в системный каталог Windows (%System%) под следующими именами:
%System%DXBLBO.exe
%System%cmd-bro-<случайные символы>.exe
%System%\%UserName%'s Setting.scr
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
%UserProfile%\%Autorun%Empty.pif
в каталог шаблонов документов:
%UserProfile%Шаблоны<случайный номер>-NendangBro.com
и в каталог «Мои рисунки» каталога документов текущего пользователя:
%MyPictures%Мои рисунки. exe
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html:
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
КОРОЧЕ ТЕПЕРЬ ВЫ РАССЫЛАЕТЕ ВИРУСЫ В ПОЧТЕ. УДАЛИТЕ

Ответ от 3 ответа[гуру]

Ответ от 3 ответа[гуру]