Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Brontok.a [информация] (http://forum.oszone.net/showthread.php?t=110425)

Котяра 01-07-2008 23:22 839816

Brontok.a [информация]
 
Чистил один компьютер давно от этого вируса.
Проявляет вирус себя в появлении дубликатов папок в папке "Мои документы". Эти дубликаты являются EXE-файлами. При запуске такого файла открывается проводник с папкой "Мои документы".
Структура папок зараженного компьютера выглядит так:
- Мои документы
- Мои рисунки
- Мои рисунки.exe
- Моя музыка
- Моя музыка.exe
- Мои документы.exe
Жирным выделены файлы вируса.
Дополнительно создает
System's settings.scr (путь не помню)
%AppData%\csrss.exe
%AppData%\smss.exe
%AppData%\winlogon.exe
%AppData%\lsass.exe
%AppData%\services.exe
%AppData%\inetinfo.exe
Хотя может эти файлы создаются в %UserProfile%\Local Settings\Application Data...
Также создается Empty.pif с вирусом.
Где найти точное описание вируса? У меня есть от Symantec, но нужно еще.
Просто хочу, если получится, написать удалялку этого вируса.
Логов нет, так как вопрос не о зараженном компьютере. Все компьютеры я почистил, просто хочу узнать об этом вирусе.

Pili 02-07-2008 08:48 839984

Email-Worm.Win32.Brontok.a

Vitac_Black 02-07-2008 19:30 840718

Цитата:

Цитата Котяра
Чистил один компьютер давно от этого вируса. »

Я уже устал от этих Brontokов руссо-туристо и прочих тварях. Тема хорошая предлагаю рассказывать о местожительстве наиболее распространнёных зловредах.
Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему?

Котяра 02-07-2008 19:41 840726

Цитата:

Цитата Vitac_Black
Вопрос к модераторам. Можно или на каждого прийдется создаватьновую тему? »

Я не модератор, не знаю, но лучше создать новую тему, т.к. тут и голосование.

Pili 02-07-2008 21:31 840828

Цитата:

Цитата Vitac_Black
Я уже устал от этих Brontokов руссо-туристо и прочих тварях »

Рекомендации от автозапуска есть почти в каждой теме этого раздела :) Например тут

Котяра 04-07-2008 14:42 842229

Просьба к тем, кто хорошо знает вирус Brontok.a. Подскажите, какой алгоритм должна иметь утилита его удаления.
Владею языками BAT и AutoIt.

DiMMMm 04-07-2008 15:21 842252

Котяра,
Цитата:

При инсталляции червь копирует себя в следующие каталоги со следующими именами:
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe
%Documents and Settings%\User\Start Menu\Programs\Startup\Empty.pif
%Documents and Settings%\User\Templates\WowTumpeh.com
%System%\<Имя пользователя>'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

После чего червь регистрирует себя в ключе автозапуска системного реестра:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"="%Windir%\ShellNew\bronstab.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"="%Documents and Settings%\User\Local Settings\Application Data\smss.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe %Windir%\eksplorasi.pif"

При каждой следующей загрузке Windows автоматически запустит файл червя.

Также червь изменяет следующие записи в системном реестре, чтобы заблокировать работу некоторых приложений и опций Windows (Системный Реестр, свойства папок):
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0"

Также червь создает следующую папку:
%Documents and Settings%\User\Local Settings\Application Data\Bron.tok-XX

XX – 2 случайные цифры.

Котяра 04-07-2008 15:29 842261

Цитата:

Цитата DiMMMm
%Documents and Settings%\User\Local Settings\Application Data\csrss.exe
%Documents and Settings%\User\Local Settings\Application Data\inetinfo.exe
%Documents and Settings%\User\Local Settings\Application Data\lsass.exe
%Documents and Settings%\User\Local Settings\Application Data\services.exe
%Documents and Settings%\User\Local Settings\Application Data\smss.exe
%Documents and Settings%\User\Local Settings\Application Data\winlogon.exe »

Я так понимаю, это можно удалить, например, так
Код:

del "%userprofile%\Local Settings\Application Data\csrss.exe"
del "%userprofile%\Local Settings\Application Data\smss.exe"
del "%userprofile%\Local Settings\Application Data\winlogon.exe"
del "%userprofile%\Local Settings\Application Data\services.exe"
del "%userprofile%\Local Settings\Application Data\inetinfo.exe"

Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку?
Цитата:

Цитата DiMMMm
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced]
"Hidden"="0"
"ShowSuperHidden"="0"
"HideFileExt"="1"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1"
"DisableCMD"="0" »

Это чистить REG-файлом?

Цитата:

Цитата DiMMMm
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe »

Удалять также, как и левый winlogon.exe?

Цитата:

Цитата DiMMMm
%System%\<Имя пользователя>'s Setting.scr »

Где это и как его удалить?
C:\System's settings.scr?

Pili 04-07-2008 15:55 842299

Цитата:

Цитата Котяра
какой алгоритм должна иметь утилита его удаления. »

Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа? :)

Котяра 04-07-2008 16:14 842318

Цитата:

Цитата Pili
Какой смысл писать такую утилиту, если можно воспользоваться утилитами (антивирусами)? Или, если однотипные системы и заражены пока ещё неизвестной модификацией, можно написать скрипт карантина/удаления для AVZ или/и отправить файлы в вирлаб и на следующий день лечить антивирусом (AVPTool напр.)
Или это лаб. работа? »

Просто так.

DiMMMm 04-07-2008 16:19 842323

Цитата:

Цитата Котяра
Правильно? Что будет, если эти команды будут выполнены на чистой машине? Не будут ли удалены системные файлы? Нужно ли делать if-проверку? »

эти файлы к системе не имеют ни малейшего отношения, прото имена одни
Цитата:

Цитата Котяра
Это чистить REG-файлом? »

да
Цитата:

Цитата Котяра
Удалять также, как и левый winlogon.exe? »

да
Цитата:

Цитата Котяра
Где это и как его удалить?
C:\System's settings.scr? »

del "%windir%\system32\%USERNAME%'s settings.scr

Котяра 04-07-2008 17:50 842400

Цитата:

Цитата DiMMMm
эти файлы к системе не имеют ни малейшего отношения, прото имена одни »

Это мне понятно, но вот команда del, если она не найдет указанного файла, не "полезет" ли она за ним в system32?

Цитата:

Цитата DiMMMm
del "%windir%\system32\%USERNAME%'s settings.scr »

На одном ПК я видел еще и файл SYSTEM's settings.scr.
Может еще нужно добавить
Код:

del "%windir%\system32\SYSTEM's settings.scr"
?

DiMMMm 04-07-2008 18:32 842435

Цитата:

Цитата Котяра
Это мне понятно, но вот команда del, если она не найдет указанного файла, не "полезет" ли она за ним в system32? »

DELманьяк :D а еще она полезет в корень системного диска и потрёт все файлы, которые найдёт, потом найдёт все документы и удалит их
Цитата:

Цитата Котяра
Может еще нужно добавить »

можно

Котяра 04-07-2008 18:58 842452

Цитата:

Цитата DiMMMm
а еще она полезет в корень системного диска и потрёт все файлы, которые найдёт, потом найдёт все документы и удалит их »

:)


Время: 13:27.

Время: 13:27.
© OSzone.net 2001-