Что такое bron tok
Email-Worm.Win32.Brontok.q
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.
При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки».
При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:
Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%\Local Settings\Application Data) и копирует свое тело в этот каталог под следующими именами:
В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:
Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:
и в системный каталог Windows (%System%) под следующими именами:
Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:
в каталог шаблонов документов:
и в каталог «Мои рисунки» каталога документов текущего пользователя:
В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html.
Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.
После этого происходит регистрация автозапуска копий червя в системе:
Также после инсталляции червя в системном каталоге Windows создается файл sistem.sys, содержащий дату и время инсталляции червя в систему в формате mmddhhmm, где mm – месяц, dd – день, hh – часы, mm – минуты инсталляции червя в двухсимвольном формате.
Распространение через email
Для поиска адресов жертв червь сканирует адресные книги MS Windows.
Также адреса для рассылки зараженных писем извлекаются из файлов со следующими расширениями:
Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.
При рассылке зараженных писем червь использует собственную SMTP-библиотеку.
Характеристики зараженных писем
Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка:
Червь получает заголовок активного окна и перезагружает систему в случае присутствия в строке заголовка следующих подстрок:
кто имел дело с вирусом Brontok
Email-Worm.Win32.Brontok.a («Лаборатория Касперского» ) также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), Worm/Brontok.a (H+BEDV), Win32.Brontok.A@mm (SOFTWIN), Worm.Mytob.GH (ClamAV), W32/Brontok.C.worm (Panda), Win32/Brontok.E (Eset) Детектирование добавлено12 окт 2005 17:16 MSK
Обновление выпущено12 окт 2005 21:22 MSK
Описание опубликовано01 фев 2006
ПоведениеEmail-Worm, почтовый червь
Технические детали
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.
Червь представляет собой PE EXE-файл. Размер зараженного файла около 41 КБ.
Инсталляция
При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\ ‘s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe
После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Bron-Spizaetus»=»%Windir%\ShellNew\bronstab.exe»
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
«Tok-Cirrhatus»=»%Documents and Settings%\User\Local Settings\Application Data\smss.exe»
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
«Shell»=»Explorer.exe %Windir%\eksplorasi.pif»
При каждой следующей загрузке Windows автоматически запустит файл червя.
Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок) :
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
«NoFolderOptions»=»1»
Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX
XX – 2 случайные цифры.
Распространение через email
Для поиска адресов жертв червь сканирует файлы, имеющие следующие расширения:
asp
cfm
csv
doc
eml
html
php
txt
wab
При этом червем игнорируются адреса, содержащие следующие подстроки:
ADMIN
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
ASSOCIATE
AVAST
AVIRA
BILLING@
BUILDER
CILLIN
CONTOH
CRACK
DATABASE
DEVELOP
ESAFE
ESAVE
ESCAN
EXAMPLE
GRISOFT
HAURI
INFO@
LINUX
MASTER
MICROSOFT
NETWORK
NOD32
NORMAN
NORTON
PANDA
PROGRAM
PROLAND
PROTECT
ROBOT
SECURITY
SOURCE
SYBARI
SYMANTEC
TRUST
UPDATE
VAKSIN
VAKSIN
VIRUS
При рассылке зараженных писем червь пытается осуществить прямое подключение к SMTP-серверам.
Характеристики зараженных писем
Тема письма:
Имя файла-вложения:
Kangen.exe
Прочее
Червь перегружает зараженную систему в том случае, если обнаруживает открытое окно со следующими строками в заголовке:
.exe
Registry
Как удалить Win32.Brontok.MO
Win32.Brontok.MO это вирус распознается различных антивирусных программного обеспечения. Вирус Win32.Brontok.MO обнаружен антивирусного программного обеспечения, потому что это опасный для вашего ПК или веб-браузере.
Win32.Brontok.MO известен зараженных Windows 10, Windows 8 или старше Windows 7. Некоторые антивирусные программы могут обнаружить вирус Win32.Brontok.MO в веб-браузере, такие как Google Chrome, Firefox, Internet Explorer и Microsoft края.
Win32.Brontok.MO изменяет системных файлов, создает новый вирус, папки и устанавливает новый windows услуг в целях заражения и взлома ПК. Win32.Brontok.MO-это вирус, который загружается или обнаруженных на вашем компьютере во время серфинга в интернете. Важно, чтобы полностью избавиться от Win32.Brontok.MO.
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Большинство пользователей ПК не знаю, почему вирус Win32.Brontok.MO определяется их антивирусной защиты. Ниже вы найдете пару советов, чтобы предотвратить вирус от заражать Win32.Brontok.MO устройство сейчас или в будущем.
Антивирусная программа обнаружила вирус Win32.Brontok.MO. Однако, вирус не удален с вашего ПК. Win32.Brontok.MO обнаружен и помещен на карантин антивирусной программой. Это означает, что есть Win32.Brontok.MO осталось за кадром остаются на вашем ПК.
Удалить вирус Win32.Brontok.MO – инструкции по удалению
Все программное обеспечение является бесплатным или полностью рабочую пробную лицензию.
Удалить Win32.Brontok.MO с Malwarebytes
Get избавиться от вредоносных программ с помощью Malwarebytes. Программа Malwarebytes является бесплатным для использования, обнаружения и удаления вредоносных программ с вашего ПК. Обнаружить последние Adware, потенциально нежелательных программ и других вредоносных программ с помощью Malwarebytes. Защитите свой компьютер с помощью Malwarebytes. Антивирус отлично работает в дополнение к virusscanner.
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Программа Malwarebytes начнет поиск вредоносных программ, пожалуйста, подождите Malwarebytes для завершения сканирования на наличие вредоносных программ.
Программа Malwarebytes обычно занимает от 2 до 5 минут.
После сканирования на вредоносные программы выполняется, программа Malwarebytes будут представлены результаты сканирования на наличие вредоносных программ.
Удалить найденное вредоносное ПО Malwarebytes и с помощью карантина выбранную кнопку.
Подождите Malwarebytes, чтобы переместить все вредоносные программы в карантин.
Программа Malwarebytes должен сделать перезагрузку системы для завершения процесса удаления вредоносных программ.
Сохраните и закройте все рабочие документы или открывать веб-страницы и нажмите кнопку Да, чтобы перезагрузить компьютер.
После перезагрузки системы, ваш компьютер чист от вредоносных программ. Оставаться защищенным с помощью Malwarebytes против будущих угроз. Программа Malwarebytes останавливается Adware, потенциально нежелательных программ, вредоносных веб-страниц, подозрительных загрузок, вирусов, шпионских программ и вымогателей заразить вашу машину.
Удалить Win32.Brontok.MO с Norton ластик власти
Нортон ластик власть-это инструмент для удаления вирусов, которое можно загрузить и запустить для удаления вредоносного ПО и угроз с компьютера. Вы можете запустить этот инструмент для сканирования на наличие угроз, даже если у вас есть продукт или любой другой продукт безопасности. Если вы не можете запустить компьютер в обычном режиме, вы можете запустить этот инструмент в безопасном режиме. Нортон ластик власть легко скачать и быстро сканирует компьютер на наличие самых разрушительных компьютерных вирусов. Вам не нужно устанавливать этот инструмент.
Используйте средство удаления вредоносных программ Spyhunter только для целей обнаружения. Узнайте больше о SpyHunter Spyware Detection Tool и шаги для удаления SpyHunter.
Совместное использование заботливый! Вы заботитесь о безопасности всемирной паутине? Я думаю, что вы делаете! Помочь другим людям с этой информацией. Вы можете использовать кнопки социальных сетей ниже.
Об Авторе
Привет, я Макс. Я-исследователь компьютерной безопасности. Для того, чтобы помочь людям, я исследования рекламного ПО, вирусов, шпионских и других вредоносных программ. Я использую эту информацию, чтобы предоставить нашим посетителям простой в использовании и четкие инструкции по удалению вирусов. Нам нужна ваша помощь! Пожалуйста, поделитесь этой статьей и помочь другим людям с этой информацией. Поделитесь этой информацией и внести свой вклад в лучшее и более безопасное онлайн-опыт для всех.
Добавить Комментарий
Шаг 1: Остановите все Win32.Brontok.MO процессы в диспетчере задач
Шаг 2: Удалите Win32.Brontok.MO сопутствующие программы
Шаг 3: Удалите вредоносные Win32.Brontok.MO записи в системе реестра
Шаг 4: Устранить вредоносные файлы и папки, связанные с Win32.Brontok.MO
Шаг 5: Удаление Win32.Brontok.MO из вашего браузера
Internet Explorer
Mozilla Firefox
Google Chrome
* SpyHunter сканера, опубликованные на этом сайте, предназначен для использования только в качестве средства обнаружения. более подробная информация о SpyHunter. Чтобы использовать функцию удаления, вам нужно будет приобрести полную версию SpyHunter. Если вы хотите удалить SpyHunter, нажмите здесь.
Worm.Brontok.Win32.1
Worm.Brontok.Win32.1 – червь, распространяющийся при помощи электронной почты и съемных носителей. размер файла 71359 байт, упакован MEW 11 1.2.
Методы распространения
распространяется при помощи массовой рассылки электронной почты, отправляя свои копии, в виде прикреплённого файла к e-mail, на все найденные на компьютере почтовые адреса. Также может распространяться посредством USB flash носителей.
Внедрение в систему
После запуска, червь создаёт свои копии под следующим именами:
%AppData% \csrss.exe
%AppData% \inetinfo.exe
%AppData% \lsass.exe
%AppData% \services.exe
%AppData% \smss.exe
%AppData% \winlogon.exe
%UserProfile%\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\empty.pif
%UserProfile%\ШАБЛОНЫ\brengkolang.com
%WinDir% \eksplorasi.exe
%WinDir% \shellnew\sempalong.exe
%WinDir% \system32\ ‘s setting.scr
Для автоматического запуска червь добавляет записи в реестр:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
Bron-Spizaetus = %WinDir%\ShellNew\sempalong.exe
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
Tok-Cirrhatus = % AppData% \smss.exe
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = % WinDir% \eksplorasi.exe
Маскировка в системе
Червь понижает настройки безопасности, изменяя следующие ключи реестра:
Также червь отключает возможность редактирования реестра и консольный ввод:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistryTools = dword:00000001
DisableCMD = dword:00000000
Червь блокирует запуск “Менеджера задач” а также нескольких других программ мониторинга и антивирусной защиты.
Функциональные возможности
Деструктивные особенности
Из-за массовой рассылки почты червь генерирует большой интернет трафик, кроме того он может блокировать доступ к некоторым сайтам антивирусных компаний изменяя файл hosts.
Brontok.A помогите удалить, пожалуйста, чайнику! (заявка № 8173)
Опции темы
Только не ругайтесь, пожалуйста. прочитала правила.
Но ни установить AVZ, ни проверить ни dr.Web, ни другими программами не удается. Сразу комп перезагружается. Прочитать посты, как удалить этот червь тоже не удается, тоже начинает перезагружаться. Как будто знает, что я его хочу удалить.
Последней каплей стало, когда попробовала, просканнить, как написано в правилах.
Уже устала, Сегодня уже раз 20 наверное перезагрузился, если не больше.
Объясните, пжста, на пальцах, что делать.
Благодарю заранее за любую помощь.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Получить логи в безопасном режиме пробовали?
В начале загрузки Windows нажимаете клавишу F8 и выбираете пункт «Загрузка в безопасном режиме»
Спасибо большое. вчера сделала в безопасном режиме.
Но почему-то, на сайт не пускал меня и в своем почтовом ящике при нажатии на сообщение отсюда, окно сразу закрывалось, в смысле мой емейл.
PS/ А если я сделала не в той последовательности, как надо, это существенно? (сначала AVZ4 «скрипт лечения..», потом Hijack, и только потом AVZ4 «скрипт сбора. «)
а теперь не получается выслать файл с архивом.
пишет, «имейте совесть. » и сразу отключается. Это червь, или я такая бестолковая? Вроде бы все делаю правильно, как в правилах написано.
Может, его сюда прикрепить?
Насколько я вижу, пока никаких файлов, кроме тех, что Вы уже выслали, нами не запрошено.
Проводим анализ.
Выполните приведённый ниже скрипт. Как его выполнять ниже линк в подписи. После перегрузки пришлите содержимое карантина как описано в правилах, и сделайте новые логи.
попробовала.
комп перезагружается, даже в безопасном режиме
Он должен перезагрузится после выполнения скрипта, это правильно. После перегрузки пришлите содержимое карантина как описано в правилах, войдя в безопасный режим, если не можете загрузиться в нормальном.
нет, он перезагружается сразу же, как нажимаю «запустить». (как я понимаю выполнение скрипта не произошло. так и должно быть?
Все правильно, скрипт выполнен. Пришлите теперь карантин согласно правилам. И скачайте хотя бы КИС пробную версию, он вас немного защитит.
Вас еще просили прислать файл карантина. его не наблюдаем.
Стало лучше, или всё по старому?
Спасибо ОГРОМНОЕ.
Цены вам нет!
Продублированные папки исчезли. По поиску нашла какие-то файлы(типа about brontok. ) Спокойно удалились. А папку «свойства папки» так и не смогла вытащить.
Про карантин, если честно, я не поняла, какие файлы надо вкладывать. В приложении написано 2. В верхнем окне введите список файлов которые Вас просили прислать. А какие надо вводить?
Вроде бы стало все функционировать, DrWeb ничего не нашел (в сомнениях, потому что не верится 
)
Если проблемы исчезли то повторите логи из нормального режима (не из безопасного)
Все, отправила. А те логи, что в предыдущем сообщении, сделаны в безопасном режиме.