Email-Worm.Win32.Brontok.iy,是一個使用VB編寫的蠕蟲程式病毒,長度為81,920位元組,圖示為windows資料夾圖示,病毒擴展名為exe,傳播途徑主要有郵件傳播、網路傳播。
基本介紹
- 中文名:Email-Worm.Win32.Brontok.iy
- 性質:蠕蟲程式
- 長度:81,920位元組
- 圖示:windows資料夾圖示
基本信息,病毒分析,安全提示,
基本信息
Email-Worm.Win32.Brontok.iy蠕蟲程式
Email-Worm.Win32.Brontok.iy
病毒分析
該蠕蟲程式激活後,在用.戶計算機中生成多個檔案:ElnorB.exe、services.exe、inetinfo.exe、winlogon.exe、bararontok.com等,設定檔案屬性為系統隱藏檔案;在開始選單啟動資料夾中生成Empty.pif檔案,修改註冊表,將ElnorB.exe註冊為自啟動項,使病毒開機時隨系統自動啟動;利用命令行添加計畫任務,使得病毒能定期運行;修改註冊表,使得.用戶無法打開註冊表編輯器,隱藏系統檔案以及不顯示隱藏檔案,刪除資料夾視窗的“工具-〉資料夾選項”,使用戶無法查看和刪除病毒檔案;為防止被用戶從DOS下刪除,病毒會在用戶打開命令.行視窗時會強行重啟電腦;收集用戶計算機中的信箱.地址,試圖通過郵件進行大範圍傳播。
病毒生成的檔案:
%systemroot%\ShellNew\ElnorB.exe
C:\Documents and Settings\用戶名\「開始」選單\程式\啟動\ Empty.pif
C:\Documents and Settings\用戶名\Local Settings\Application Data\smss.exe
C:\Documents and Settings\用戶名\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\用戶名\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\用戶名\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\用戶名\Templates\bararontok.com
……
病毒修改的註冊表項:
項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值:Bron-Spizaetus
指向檔案:C:\WINDOWS\ShellNew\ElnorB.exe
項:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
鍵值:DisableRegistryTools
數值數據:00000001
項:HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
鍵值:DisableCMD
數值數據:00000000
感染對象