病毒名称： Email-Worm.Win32.Brontok.q

中文名称： 布朗克变种

病毒类型： 病毒类型档案 MD5： 41BC917A697AB13ECB4C97496300080B

公开範围： 完全公开

危害等级： 5

档案长度： 脱壳前 45,417 位元组，脱壳后273,408 位元组

感染系统： Win9X以上系统

开发工具： Microsoft Visual Basic 5.0 / 6.0

加壳工具： MEW 11 1.2 -> NorthFox/HCC

命名对照： Symantec [W32.Rontokbro@mm]

Avast![ Win32:Brontok-I]

Sophos [W32/Korbo-B ]

DrWeb[BackDoor.Generic.1138]

McAfee[W32/Rontokbro.gen@MM]

FRISK [W32/Brontok.C@mm]

该病毒运行后，衍生病毒档案到多个目录下，添加注册表随机运行项以跟随系统启动。并

添计画任务、更改档案执行映射、使用“资料夹”图示欺骗等手段，保证病毒体运行。当病毒

运行时，检查是否有不利于病毒的程式存在，如有则重新启动计算机。病毒会禁用注册表，关

闭“资料夹选项”，去掉查看隐藏档案设定。搜寻本地 E-mail地址传送病毒副本传播。此病毒

并不会一次性释放完所有的病毒行为，所以会因为感染的不同程度，感染后的效果也不一样。

%Documents and Settings%\ 当用用户名 \Templates\6876-NendangBro

%Documents and Settings%\ 当前用户名 \Application Data\csrss.exe

%Documents and Settings%\ 当前用户名 \Application Data\inetinfo.exe

%Documents and Settings%\ 当前用户名 \Application Data\ListHost14.txt

%Documents and Settings%\ 当前用户名 \Application Data\lsass.exe

%Documents and Settings%\ 当前用户名 \Application Data\services.exe

%Documents and Settings%\ 当前用户名 \Application Data\smss.exe

%Documents and Settings%\ 当前用户名 \Application Data\svchost.exe

%Documents and Settings%\ 当前用户名 \Application Data\br4347on.exe

%Documents and Settings%\ 当前用户名 \Application Data\Bron.tok-17-24\

%Documents and Settings\ 当前用户名 \ 「开始」选单 \ 程式 \ 启动 \ Empty.pif

%WinDir%\KesenjanganSosial.exe

%System32%\ antiy's Setting.scr

%System32%\ cmd-brontok.exe

%WinDir%\ShellNew\RakyatKelaparan.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Run\Bron-Spizaetus

Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Run\Tok-Cirrhatus-1662

Value: String: ""%Documents and Settings%\ 当前用户名 \

Local Settings\Application Data\br4347on.exe""

\Documents and Settings\ 当前用户名 \ 「开始」选单 \ 程式 \ 启动 \ Empty.pif

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\

CurrentVersion\Winlogon\Shell

New: String: "Explorer.exe "%WINDdir%\KesenjanganSosial.exe""

Old:String:"Explorer.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\Hidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\HideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

Explorer\Advanced\ShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell

New: String: "cmd-brontok.exe"

Old: String: "cmd.exe"

名称为 At1 、 At2 、依次排列：

名称 : At1

执行路径： "%Documents and Settings\ 当用的用户名 \

Templates\"

执行时间：每天的 17:08 或 11.03

my ebooks

my data sources

my music

my pictures

my shapes

my documentes

6 、邮件地址从包含下列字元串的档案中获得：

.html .htm .txt .eml .wab .asp .php .cfm .csv .doc .pdf .xls .ppt .htt

7 、感染即插式存储器，遍历存储器内所有目录，以目录名命名病毒副本，複製副本到每个

目录下，包括根目录，并在存储器根目录上生成 Atuorun.inf 档案，以实现用户双击盘

符时运行病毒体。

8 、访问下列伺服器地址：

www.n*t4f(6*.2*.1*4.*1)

www.*p*q*.com(6*.2*.7.1*6)

www.l*r*c*b*ok.(6*.2*.*.1*6)

www.2*m*w*b.c(6*.2*.1*4.*1)/ nodoc/

www.2*m*w*b.(6*.2*.1*4.*1)/ News/cmbrosji1/IN17.css

9 、在根目录下创建 about.brontok.a.html ，不定时会弹出：

创建 kosong.bron.tok.txt, 内容为：

Brontok.a

By: hvm31

-- jowobot #vm community --

10 、传送带有病毒副本附属档案的邮件，附属档案名从病毒建立的 !submit 目录下随机选取，如：

winword.exe

xpshare.exe

11 、可能会修改 host 档案，以阻止用户或用户程式访问安全类网站。

12 、病毒会检查程式视窗标题，如含有下列字元串，则重启计算机：

. ASP 　.EXE　 .HTM 　.JS 　.PHP　 ADMIN 　ADOBE 　AHNLAB 　ALADDIN 　ALERT

ALWIL　 ANTIGEN　 APACHE 　APPLICATION 　ARCHIEVE 　ASDF 　ASSOCIATE 　AVAST

AVG 　AVIRA　 BILLING@ 　BLACK 　BLAH 　BLEEP 　BUILDER　 CANON 　CENTER

CILLIN　 CISCO 　CMD. CNET 　COMMAND　 COMMAND　 PROMPT 　CONTOH　CONTROL

CRACK 　DARK 　DATA 　DATABASE　 DEMO 　DETIK 　DEVELOP 　DOMAIN 　DOWNLOAD

ESAFE 　ESAVE 　ESCAN 　EXAMPLE 　FEEDBACK 　FIREWALL　 FOO@ 　FUCK 　FUJITSU

GATEWAY 　GOOGLE 　GRISOFT 　GROUP 　HACK 　 HAURI　 HIDDEN　 HP. 　IBM.

INFO@ 　INTEL.　 KOMPUTER 　LINUX　 LOG 　OFF　 WINDOWS 　 LOTUS　 MACRO

MALWARE　 MASTER 　MCAFEE　 MICRO　 MICROSOFT 　MOZILLA 　MYSQL 　 NETSCAPE

NETWORK 　NEWS　 NOD32 　NOKIA　 NORMAN　 NORTON 　NOVELL 　NVIDIA 　OPERA

OVERTURE　 PANDA 　PATCH 　POSTGRE 　PROGRAM 　PROLAND 　PROMPT　 PROTECT

PROXY　 RECIPIENT　 REGISTRY　 RELAY　 RESPONSE 　ROBOT　 SCAN 　SCRIPT

HOST 　SEARCH　 R 　 SECURE 　SECURITY 　SEKUR　 SENIOR 　SERVER 　SERVICE

SHUT 　DOWN 　SIEMENS 　SMTP　 SOFT　 SOME 　SOPHOS　 SOURCE 　SPAM　 SPERSKY

SUN.　 SUPPORT 　SYBARI　 SYMANTEC　 SYSTEM 　CONFIGURATION　 TEST 　TREND

TRUST　 UPDATE　 UTILITY　 VAKSIN　 VIRUS 　W3.　 WINDOWS 　SECURITY.　VBS

WWW　 XEROX 　XXX 　YOUR　 ZDNET 　ZEND 　ZOMBIE

注： % System% 是一个可变路径。病毒通过查询作业系统来决定当前 System 资料夹的位置。 Windows2000/NT 中默认的安装路径是 C:\Winnt\System32 ， windows95/98/me 中默认的安装

路径是 C:\Windows\System ， windowsXP 中默认的安装路径是 C:\Windows\System32 。

清除方案：

1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )

2 、 手工清除请按照行为分析删除对应档案，恢复相关係统设定。

(1) 使用安天木马防线断开网路，结束病毒进程：

%Documents and Settings%\ 当用的用户名 \

Templates\

%Documents and Settings%\ 当前用户名 \

Application Data\csrss.exe

%Documents and Settings%\ 当前用户名 \

Application Data\inetinfo.exe

%Documents and Settings%\ 当前用户名 \

Application Data\ListHost14.txt

%Documents and Settings%\ 当前用户名 \

Application Data\lsass.exe

%Documents and Settings%\ 当前用户名 \

Application Data\services.exe

%Documents and Settings%\ 当前用户名 \

Application Data\smss.exe

%Documents and Settings%\ 当前用户名 \

Application Data\svchost.exe

%Documents and Settings%\ 当前用户名 \

Application Data\br4347on.ex

(2) 在“运行”中输入 gpedit.msc ，打开“组策略”，将下列项

设定为“禁用” 。

1)、用户配置 = 》管理模板 = 》 Windows 资源管理器 = 》

从“工具”选单中删除“资料夹选项”选单

2)、用户配置 = 》管理模板 = 》系统 = 》阻止访问注册表编辑工具

3)、用户配置 = 》管理模板 = 》系统 = 》阻止访问命令提示符

(3) 删除下列注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Run\ Bron-Spizaetus

Value: String: ""%WINDOWS%\ShellNew\RakyatKelaparan.exe""

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Run\Tok-Cirrhatus-1662

Value: String: ""%Documents and Settings%\

当前用户名 \Local Settings\Application ata\br4347on.exe""

(4) 恢复下列注册表键值为旧值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\

CurrentVersion\Winlogon\Shell

New: String: "Explorer.exe "%WINDOWS%\BerasJatah.exe""

Old: String: "Explorer.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\Hidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\HideFileExt

New: DWORD: 1 (0x1)

Old: DWORD: 0 (0)

HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Explorer\Advanced\ShowSuperHidden

New: DWORD: 0 (0)

Old: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\

Control\SafeBoot\AlternateShell

New: String: "cmd-brontok.exe"

Old: String: "cmd.exe"

(5) 删除病毒释放档案：

%Documents and Settings%\ 当用的用户名 \

Templates\　%Documents and Settings%\ 当前用户名 \

Application Data\csrss.exe

%Documents and Settings%\ 当前用户名 \

Application Data\inetinfo.exe

%Documents and Settings%\ 当前用户名 \

Application Data\ListHost14.txt

%Documents and Settings%\ 当前用户名 \

Application Data\lsass.exe

%Documents and Settings%\ 当前用户名 \

Application Data\services.exe

%Documents and Settings%\ 当前用户名 \

Application Data\smss.exe

%Documents and Settings%\ 当前用户名 \

Application Data\svchost.exe

%Documents and Settings%\ 当前用户名 \

Application Data\br4347on.exe

%Documents and Settings%\ 当前用户名 \

Application Data\Bron.tok-17-24\

%Documents and Settings\ 当前用户名 \

「开始」选单 \ 程式 \ 启动 \ Empty.pif

%WinDir%\KesenjanganSosial.exe

%System32%\ antiy's Setting.scr

%System32%\ cmd-brontok.exe

%WinDir%\ShellNew\RakyatKelaparan.exe

(6) 删除病毒添加的计画任务。

(7) 建议用安天木马防线全描扫描所有磁碟。