病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
44427
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个通过邮件传播的蠕虫病毒,会释放大量病毒文件到用户电脑中,并会自动重起用户的电脑。
1、加入启动菜单:empty
2、添加如下注册表键值:
HKLM\software\microsoft\windows\currentversion\run
Bron-Spizaetus="C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinlogonShell="Explorer.exe"C:\WINDOWS\KesenjanganSosial.exe""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBootAlternateShell="cmd-brontok.exe"
HKCU\software\microsoft\windows\currentversion\Policies\SystemDisableCMD=0x0
HKCU\software\microsoft\windows\currentversion\Policies\ExplorerNoFolderOptions=0x1
HKCU\software\microsoft\windows\currentversion\runTok-Cirrhatus-1464="C:\DocumentsandSettings\Admin\LocalSettings\ApplicationData\br3951on.exe"
HKCU\software\microsoft\windows\currentversion\runTok-Cirrhatus=""
HKCU\software\microsoft\windows\currentversion\explorer\advancedHidden=0x0
HKCU\software\microsoft\windows\currentversion\explorer\advancedHideFileExt=0x1
HKCU\software\microsoft\windows\currentversion\explorer\advancedShowSuperHidden=0x0
HKCU\software\microsoft\windows\currentversion\Policies\SystemDisableRegistryTools=0x1
实现锁定注册表编辑器,隐藏文件、文件夹及文件扩展名,开机自启动。
3、生成如下病毒文件
C:\DocumentsandSettings\Admin\LocalSettings\ApplicationData\目录下:
services.exe;lsass.exe;winlogon.exe;smss.exe;inetinfo.exe;csrss.exe;
br3951on.exe;Loc.Mail.Bron.Tok\caishanfeng@yahoo.com.cn.ini;Ok-SendMail-Bron-
tok\;Bron.tok-16-24\;
C:\DocumentsandSettings\Admin\Templates\6084-NendangBro.com
C:\DocumentsandSettings\Admin\MyDocuments\MyPictures\about.Brontok.A.html
系统目录下:%systemroot%\ShellNew\Rakyatkelaparan.exe;
%systemroot%\KesenjanganSosial.exe;
%system%\cmd-brontok.exe;
4、调用at.exe将C:\DocumentsandSettings\Admin\Templates\6084-
NendangBro.com设定为计划任务,天天执行2次。
5、搜索用户电脑中的电子邮件地址,自动发送邮件传播自己。
6、当发现用户打开特定的窗口后会自动重起机器。
