病毒名称:Worm.Brontok
威胁级别:★ ★
中文名称:“布朗特克”
病毒类型:蠕虫病毒
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003


病毒行为:
该病毒是一个通过邮件传播的蠕虫病毒,会释放大量病毒文件到用户电脑中,并会自动重起用户的电脑。


1、加入启动菜单:empty
2、添加如下注册表键值:
HKLM\software\microsoft\windows\currentversion\run\
Bron-Spizaetus = "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
Shell = "Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
AlternateShell = "cmd-brontok.exe"
HKCU\software\microsoft\windows\currentversion\Policies\System\
DisableCMD = 0x0
HKCU\software\microsoft\windows\currentversion\Policies\Explorer\
NoFolderOptions = 0x1
HKCU\software\microsoft\windows\currentversion\run\
Tok-Cirrhatus-1464 = "C:\Documents and Settings\Admin\Local Settings\Application Data\br3951on.exe"
HKCU\software\microsoft\windows\currentversion\run\
Tok-Cirrhatus = ""
HKCU\software\microsoft\windows\currentversion\explorer\advanced\
Hidden = 0x0
HKCU\software\microsoft\windows\currentversion\explorer\advanced\
HideFileExt = 0x1
HKCU\software\microsoft\windows\currentversion\explorer\advanced\
ShowSuperHidden = 0x0
HKCU\software\microsoft\windows\currentversion\Policies\System\
DisableRegistryTools = 0x1
实现锁定注册表编辑器,隐藏文件、文件夹及文件扩展名,开机自启动。


3、生成如下病毒文件
C:\Documents and Settings\Admin\Local Settings\Application Data\目录下:
services.exe; lsass.exe; winlogon.exe; smss.exe; inetinfo.exe; csrss.exe;
br3951on.exe; Loc.Mail.Bron.Tok\[email]caishanfeng@yahoo.com.cn.ini[/email]; Ok-SendMail-Bron-
tok\; Bron.tok-16-24\;
C:\Documents and Settings\Admin\Templates\6084-NendangBro.com
C:\Documents and Settings\Admin\My Documents\My Pictures\about.Brontok.A.html
系统目录下:%systemroot%\ShellNew\Rakyatkelaparan.exe;
%systemroot%\KesenjanganSosial.exe;
%system%\cmd-brontok.exe;
4、调用at.exe将C:\Documents and Settings\Admin\Templates\6084-
NendangBro.com设定为计划任务,每天执行2次。
5、搜索用户电脑中的电子邮件地址,自动发送邮件传播自己。
6、当发现用户打开特定的窗口后会自动重起机器。

-----------------------------------------------------------
病毒症状:
[explorer]核心启动中附带有木马C:\WINDOWS\KesenjanganSosial
注册表被锁、文件夹选项消失等等。
病毒添加启动项:
[开始-程序-启动] Empty.pif
[Bron-Spizaetus] C:\WINDOWS\ShellNew\RakyatKelaparan.exe
[Tok-Cirrhatus]
[Tok-Cirrhatus-969] C:\Documents and Settings\[Users]\Local Settings\Application Data\br2961on.exe (数字有可能不是2961)
病毒文件:
C:\Documents and Settings\[Users]\Application Data\

C:\Documents and Settings\[Users]\Local Settings\Application Data
中有大量病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、以及带有“Bron tok”名字的文件,[Users]是指每一个用户名。
准备工具:木马杀客或者其他。


---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


杀毒步骤:
1、用process explorer结束所有带有Application Data路径的进程。
2、在记事本里面输入以下内容(如果禁止了右键,我们可以从“文件”这里新建一个):
dim wsh
set wsh=wscript.createobject("wscript.shell")
wsh.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\Disabled",""
wsh.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools","0"
wsh.popup ("已经成功解开注册表")
另存为1.vbs或者1.vbe 运行这个文件,注册表就解开了。
3、用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
另存为1.reg文件然后双击运行这个文件,也是解锁注册表的。
4、文件夹选项消失,无法显示隐藏文件、扩展名解决方法,用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
另存为2.reg文件然后双击运行这个文件。
5、恢复显示“文件夹选项”,以便查看隐藏文件即文件扩展名:
运行-gpedit.msc-“本地计算机”策略-用户配置-管理模板-windows组件-windows资源管理器,更改设置:从“工具”菜单删除“文件夹选项”菜单!选择,已禁用即可。
6、开始-运行-regedit,打开注册表搜索KesenjanganSosial、RakyatKelaparan、Bron tok,搜索到的子项删除。
比如定位到
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
删除:Bron-Spizaetus = "C:\%system%\ShellNew\RakyatKelaparan.exe"
HKLM\SoftWare\Microsoft\Windows\CurrentVersionWinlogon\Shell
删除:Bron-Spizaetus = "C:\%system%\ShellNew\RakyatKelaparan.exe"
(%system%在windows xp下指windows\system32,windows 2000下则为WINNT)
定位到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
删除:Bron-Spizaetus、Tok-Cirrhatus、Tok-Cirrhatus-969等相关项。
7、在文件夹选项里显示隐藏文件和系统文件。
或者直接修改注册表,显示系统文件、隐藏文件、扩展名,用记事本写以下内容:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
另存为3.reg文件然后双击运行这个文件。
注册表的操作可以全部写到一个reg文件,然后一步添加完成,这里分步只是为了解释一下。
8、搜索含有“Bron tok”字符的所有文件,然后删除。
9、删除在C:\Documents and Settings\[Users]\Application Data\和
C:\Documents and Settings\[Users]\Local Settings\Application Data
文件夹里的病毒程序,比如csrss.exe、inetinfo.exe、winlogon.exe、services.exe、smss.exe、lsass.exe、svchost.exe、Bron.tok-17-x.exe(x为数字)、以及带有“Bron tok”名字的文件,[Users]是指每一个用户名,全文同。
10、删除开始菜单里面的:
c:\Documents and Settings\[Users]\[开始]菜单\程序\启动\empty.pif
11、删除C:\Windows及C:\WINDOWS\system32目录下的[Users]'s Setting.scr文件,
如果有的话,删除C:\WINDOWS\system32\??.exe (图标是个“中”字的exe文件,网络实名)
12、修改C:\Autoexec.bat,删除里面的字符:"pause",保存退出。
13、清理IE临时文件、用超级兔子或者优化大师等工具清理临时文件。



补充:

杀毒过程中需要修复EXE文件关联:复制C:\WINNT\SYSTEM32\CMD.EXE到桌面,修改为CMD.COM,运行进入DOS窗口,然后执行assoc .exe,看看结果,如果不是.exe=exefile,那么就输入assoc .exe=exefile回车,即可。