Worm@W32.Rontokbro
Rontokbro 骇虫会使计算机重新启动,并且在特定时间运行病毒文件
Rontokbro 骇虫会使用自己的 SMTP 引擎寄送病毒信件,并于每日下午5:08 运行病毒文件。此骇虫会生成许多病毒文件,如果发现窗口标题出现特定字串,例如:@.、.ASP、 .EXE、.HTM 等,则会强迫计算机重新启动。
基本介绍
| 病毒名称 | Worm@W32.Rontokbro |
| 病毒别名 | W32.Rontokbro.B@mm[symantec] |
| 病毒型态 | Worm , E-Mail |
| 病毒发现日期 | 2005/10/04 |
| 影响平台 | Windows 95/98/ME , Windows NT/2000/XP/2003 |
风险评估
| 散播程度:高 |
| 破坏程度:中 |
Worm病毒特性:
Win32.Robknot是一族通过邮件和修改系统设置的蠕虫病毒。
感染方式:
运行时,Robknot可以多次复制自身到"%Profiles%\Local Settings\Application Data"目录,它使用以下文件名复制病毒:
§ CSRSS.EXE
§ INETINFO.EXE
§ LSASS.EXE
§ SERVICES.EXE
§ SMSS.EXE
§ WINLOGON.EXE
随后运行所有的文件,依次修改注册表,以确保每次系统启动时运行病毒:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus = "%Profiles%\Local Settings\Application Data\<filename.exe>"
注:<filename.exe>引用以上所列文件名。
Robknot还会复制到"%Windows%\ShellNew"目录,病设置以下注册表键值,为了在每次系统启动时运行复制的文件:
HKLM\software\microsoft\windows\currentversion\run\Bron-Spizaetus = "%Windows%\ShellNew\<filename.exe>"
目前发现的这种蠕虫的变体使用以下文件名复制到这个目录中:
§ bronstab.exe
§ ElnorB.exe
§ sempalong.exe
Robknot还会复制到"%Profiles%\Templates"目录中,并将这个文件添加到预定任务列表中,为了在每天下午5:08运行病毒。Robknot变体使用以下文件名复制到这个目录中:
§ bararontok.com
§ WowTumpeh.com
§ Brengkolang.com
Robknot为了复制病毒,还会搜索文件夹。如果蠕虫在一个文件夹中发现一个可运行程序,那么它就会使用文件夹的名称复制自身到这个文件夹中,蠕虫还会替代文件夹中的与文件夹相同文件名的任意可运行程序。
@W32.Rontokbro信件格式:
发信者: < 随机 >
主旨: 空白
内文:
BRONTOK.A [ By: H[REMOVED]M Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: H[REMOVED]unity --
附加文件: Kangen.exe
危害:
重启系统
Robknot列举Windows所有的前台,检查标题栏中包含以下字符的:
REGISTRY
SYSTEM CONFIGURATION
COMMAND PROMPT
.EXE
SHUT DOWN
SCRIPT HOST
LOG OFF WINDOWS,
KILLBOX
TASKKILL
TASK KILL
HIJACK
BLEEPING
如果发现以上中的任意一个,蠕虫会重启系统。
拒绝服务
蠕虫执行拒绝服务攻击(通过PING),拒绝以下域:
israel.gov.il
playboy.com
kaskus.com
17tahun.com
修改Hosts文件
Hosts文件包含IP地址和主机名的映射。Windows在查询DNS之前需要查找Hosts文件。在Windows XP, 2000, NT 系统中hosts 文件位于%System%\drivers\etc\hosts;在Windows 9x 系统中hosts文件位于%Windows%\hosts。
Robknot变体从geocities.com域下载一个包含URL列表的text文件,Robknot修改host文件,将列表中的URL改变为local host,有效的阻止用户访问这些站点。不同的变体列表有所不同,以下是Robknot.D变体修改的host文件所示:
mcafee.com
www.mcafee.com
mcafeesecurity.com
www.mcafeesecurity.com
mcafeeb2b.com
www.mcafeeb2b.com
nai.com
www.nai.com
vil.nai.com
kaspersky-labs.com
www.kaspersky-labs.com
kaspersky.com
www.kaspersky.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
download.mcafee.com
grisoft.com
www.grisoft.com
grisoft.cz
www.grisoft.cz
norton.com
www.norton.com
symantec.com
www.symantec.com
liveupdate.symantecliveupdate.com
liveupdate.symantec.com
update.symantec.com
securityresponse.symantec.com
sarc.com
www.sarc.com
vaksin.com
www.vaksin.com
norman.com
www.norman.com
sandbox.norman.com
trendmicro.com
www.trendmicro.com
trendmicro.co.jp
www.trendmicro.co.jp
trendmicro-europe.com
www.trendmicro-europe.com
ae.trendmicro-europe.com
it.trendmicro-europe.com
secunia.com
www.secunia.com
winantivirus.com
www.winantivirus.com
pandasoftware.com
www.pandasoftware.com
esafe.com
www.esafe.com
f-secure.com
www.f-secure.com
europe.f-secure.com
bhs.com
www.bhs.com
datafellows.com
www.datafellows.com
cheyenne.com
www.cheyenne.com
ontrack.com
www.ontrack.com
sands.com
www.sands.com
sophos.com
www.sophos.com
icubed.com
www.icubed.com
perantivirus.com
www.perantivirus.com
virusalert.nl
www.virusalert.nl
pagina.nl
www.pagina.nl
antivirus.pagina.nl
castlecops.com
www.castlecops.com
virustotal.com
www.virustotal.com
修改系统设置
蠕虫修改桌面主题,同时修改以下键值为了隐藏隐含文件:
HKCU\software\microsoft\windows\currentversion\explorer\advanced\Hidden = 0
HKCU\software\microsoft\windows\currentversion\explorer\advanced\ShowSuperHidden = 0
HKCU\software\microsoft\windows\currentversion\Policies\Explorer\NoFolderOptions = 1
蠕虫通过修改以下键值,使command命令失效:
HKCU\software\microsoft\windows\currentversion\Policies\System\DisableCMD = 0
蠕虫修改修改以下键值,使注册表工具(例如:Regedit.exe)失效:
HKCU\software\microsoft\windows\currentversion\Policies\System\DisableRegistryTools = 1
蠕虫还会修改C:\autoexec.bat文件,文件包含"pause"一行,为了在每次系统启动时中止系统。
Worm@W32.Rontokbro 行为描述:
注:在Win95/98/me %System% 默认值为 C:\windows\System
在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32
-
添加一个Windows 工作排程,并且每日下午5:08 运行下列文件:
%UserProfile%\Templates\A.kotnorB.com
-
当骇虫发现窗口标题含有下列字串并重新开机:
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
..............
-
骇虫会从下列副档名文件,取得电子邮件地址:
ASP
CFM
CSV
DOC
EML
HTML
PHP
TXT
WAB
-
透过自己的SMTP大量发送病毒信件。
-
透过病毒运行后,将骇虫本身复制到%System%
3D Animation.scr
-
病毒运行后,在%UserProfile%\Local Settings\Application Data\ 目录生成
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe -
病毒运行后,在 %UserProfile%\Start Menu\Programs\Startup\ 目录生成
Empty.pif
-
病毒运行后,在 %UserProfile%\Templates\ 目录生成
A.kotnorB.com
-
病毒运行后,在 %Windir%\inf\ 目录生成
norBtok.exe
-
更改登录档,如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Bron-Spizaetus" = "%Windir%\INF\norBtok.exe"
-
更改登录档,如此开机即会启动骇虫。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe"
-
此病毒比较顽强,可用附件中的专杀工具配合诺顿可以查杀干净!
