鸿 网 互 联 www.68idc.cn

邮件传播的VB毒,无敌了``推荐

来源:互联网 作者:佚名 时间:2018-02-10 16:37
AV命名:Email-Worm.Win32.Brontok.A(IKARUS )W32.Rontokbro.D@mm(偌顿)加壳方式:MEW 11 1.2 - NorthFox/HCC编写语言:Microsoft Visual Basic 5.0 / 6.0 病毒类型:Mail类蠕虫文件MD5:383e53cc802ea41ac4e9685babf471ad传播方式:Email行为分析:1、释
  AV命名:Email-Worm.Win32.Brontok.A(IKARUS  )W32.Rontokbro.D@mm(偌顿)   加壳方式:MEW 11 1.2 - NorthFox/HCC   编写语言:Microsoft Visual Basic 5.0 / 6.0   病毒类型:Mail类蠕虫   文件MD5:383e53cc802ea41ac4e9685babf471ad   传播方式:Email   行为分析:   1、释放病毒副本,沆瀣一气: C:\Documents and Settings\admin\「开始」菜单\程序\启动\Empty.pif
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin's Setting.scr
以上病毒大小均为103047 字节,修改日期为当日。   2、添加注册表,开机启动:   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表值Tok-Cirrhatus指向:C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值Bron-Spizaetus指向:C:\WINNT\ShellNew\bronstab.exe   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
"Explorer.exe "C:\WINNT\eksplorasi.pif" (依附Explorer后启动)   3、修改注册表。禁用CMD、注册表、文件夹选项、显示隐藏文件等等。   4、其中驻进程的伪Lasss.exe、Winlogon.exe、Services.exe使用三进程相互守护。   每隔一段时间检测对方是否存在,若不在则重新加载。 并隔3秒检查一次注册表启动项,如果被删除的话,则重新写回。   5、调用At启用计划任务,预计每天17:08执行病毒副本(WowTumpeh.com)。(汗)   6、查找硬盘 HTML
.TXT
.EML
.WAB
.ASP
.PHP
.CFM
.CSV
.DOC
.XLS
.PDF
.PPT 类型文件,读取邮箱地址.   并保存至C:\Documents and Settings\admin\Local Settings\Application Data\Loc.Mail.Bron.Tok   PS:如遇到FOLDER.HTT文件则删除。   7、每隔3分钟连接66.218.77.68(Yahoo邮箱服务器)。   先执行ping playboy.com -n 250 -l 747命令判断网路是否通(Ping250次,747大小的数据包)。   并把数据包内容填充Hosts文件。。-_-!   后读取Loc.Mail.Bron.Tok邮箱列表,发送垃圾邮件与病毒附件。   落款可能是:   Brontok.A
By: HVM31
-- JowoBot #VM Community --   8、查找:   MY DATA SOURCES
MY EBOOKS
MY MUSIC
MY PICTURES
MY SHAPES
MY VIDEOS
MY DOCUMENTS   文件夹,将其目录下的子文件夹为名字复制病毒副本。   D:\My Documents\My QQ Files\My QQ Files.exe。   9、查找窗口,遇到特定的名称,则执行关闭系统命令。   判断方式未知。   解决方法:   1、下载冰刃、SREng,可网上搜索,或者到:   [url]http://gudugengkekao.ys168.com/[/url]下载:   图片点击可在新窗口打开查看冰刃.rar 2,110KB   图片点击可在新窗口打开查看sreng2.5.zip 780KB   2、断开网络连接,关闭不需要的进程。   3、打开冰刃,同时选上伪系统文件:Lasss.exe、Winlogon.exe、Services.exe(文件夹图标)并同时结束其进程。   4、打开SREng,它会提示你Explorer项被非法修改,点确定后自动修复。   然后删除注册表项:   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表值Tok-Cirrhatus指向:C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值Bron-Spizaetus指向:C:\WINNT\ShellNew\bronstab.exe   还有个启动项,千万不要漏了!!在:   「开始」菜单\程序\启动\Empty.pif。 一定要删除掉。   5、用SREng修复其他注册表项,也可以自己找工具修复。   6、重启电脑,删除:   C:\Documents and Settings\admin\「开始」菜单\程序\启动\Empty.pif
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin's Setting.scr                
网友评论
<