Email worm win32 brontok q

Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма. Рассылается по всем найденным на зараженном компьютере адресам электронной почты.

Червь является приложением Windows (PE EXE-файл). Написан на Visual Basic. Размер известных зараженных файлов данной версии червя значительно варьируется. Ниже приведена функциональность наиболее часто встречаемых вариантов данного червя.

При первом запуске зараженного файла пользователь увидит появившееся окно проводника Windows с открытой папкой «Мои рисунки».

При инсталляции червь изменяет следующие ключи системного реестра, отключая средства работы с реестром и подключение командной строки, установку режима отображения файлов и папок в проводнике:

Далее червь получает путь к каталогу приложений Windows для текущего пользователя (%UserProfile%Local SettingsApplication Data) и копирует свое тело в этот каталог под следующими именами:

В этом же каталоге создается текстовый файл Kosong.Bron.Tok.txt размером 51 байт следующего содержания:

Также тело червя копируется в корневой каталог Windows (%WinDir%) под именем:

в каталог ShellNew корневого каталога Windows под сгенерированным именем, соответсвующим маске bbm- .exe:

и в системный каталог Windows (%System%) под следующими именами:

Также червь копирует себя в каталог автозагрузки программ меню «Пуск» под именем Empty.pif:

в каталог шаблонов документов:

и в каталог «Мои рисунки» каталога документов текущего пользователя:

В этом каталоге также создается HTML-страничка с названием about.Brontok.A.html.

Данная страничка является содержимым писем, которые червь рассылает по найденным адресам электронной почты.

После этого происходит регистрация автозапуска копий червя в системе:

Также после инсталляции червя в системном каталоге Windows создается файл sistem.sys, содержащий дату и время инсталляции червя в систему в формате mmddhhmm, где mm – месяц, dd – день, hh – часы, mm – минуты инсталляции червя в двухсимвольном формате.

Распространение через email

Для поиска адресов жертв червь сканирует адресные книги MS Windows.

Также адреса для рассылки зараженных писем извлекаются из файлов со следующими расширениями:

Все найденные адреса сохраняются в каталоге %AppData%Loc.Mail.Bron.Tok в виде файлов с именем почтового адреса, с расширением .ini и текстом:

Также создается каталог Ok-SendMail-Bron-tok для хранения адресов отправленных писем.

При рассылке зараженных писем червь использует собственную SMTP-библиотеку.

Характеристики зараженных писем

Червь рассылает свои копии со следующими именами во вложении к зараженным письмам. Выбирается из списка:

Червь получает заголовок активного окна и перезагружает систему в случае присутствия в строке заголовка следующих подстрок:

Также червь изменяет содержимое файла autoexec.bat в корневом каталоге диска C:, добавляя в него строку «pause».

Читайте также:  С любопытством я поглядывал

Email-Worm.Win32.Brontok.q («Лаборатория Касперского») также известен как: W32/Rontokbro.gen@MM (McAfee), W32.Rontokbro@mm (Symantec), BackDoor.Generic.1138 (Doctor Web), W32/Korbo-B (Sophos), WORM_RONTOKBRO.F (Trend Micro), WORM/Brontok.C (H+BEDV), W32/Brontok.C@mm (FRISK), Win32:Rontokbr-B (ALWIL), I-Worm/VB.FY (Grisoft), Win32.Brontok.C@MM (SOFTWIN), Worm.Brontok.E (ClamAV), Win32/Brontok.F (Eset)

Подписывайтесь на каналы "SecurityLab" в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Удаление навязчивых программ и вирусов. Видео и текстовые инструкции.

Страницы

пятница, 23 августа 2013 г.

Как удалить червя Win32.Brontok.A

Что же такое Win32.Brontok.A?

Win32.Brontok.A это семейство почтовых и сетевых червей массовой рассылки, которые копируют себя на USB и жесткие диски. Когда червь запускается, он создает папку и загружает текстовый файл с удаленного сайта в эту папку. Червь также делает несколько копий себя в различных других папках, используя разные имена файлов с одним из следующих расширений:. COM, EXE, SCR, или PIF. Имена файлов использующаяся червем может быть идентична системным файлам Windows, таких как csrss.exe, lsass.exe, services.exe, smss.exe или winlogon.exe.

Вредоносная деятельность Win32.Brontok.A

  1. Предотвращает доступ пользователя к редактору реестра путем внесения следующих изменений: Добавляет значение: DisableRegistryTools с данными: 1 в подраздел: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem.
  2. Предотвращает отображение файлов и папок с атрибутом "скрытые" путем внесения следующих изменений: Добавляет значение: hidden c данными: в подраздел: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
  3. Предотвращает отображение системных файлов Windows путем внесения следующих изменений: Добавляет значение: ShowSuperHidden c данными: в подраздел: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
  4. Изменяет файл HOSTS Windows, чтобы предотвратить доступ к определенным сайтам Интернета, большинство из которых являются антивирусные и связанные с безопасностью.
  5. Он также может запустить DoS-атаку с вашего компьютера.
  6. Завершает приложения или перезапускает Windows, когда заголовок активного окна содержит определённые строки, многие из которых могут быть относится к антивирусу или инструментам для обнаружения и удаления этого червя.

Как удалить Win32.Brontok.A?

Бесплатные программы

С лечением Win32.Brontok.A должен справится практически любой антивирус средней руки, не говоря уже о более продвинутых. Если ваш антивирус ничего не находит читайте дальше. Здесь же я опишу бесплатные и платные специализированные средства удаления этого компьютерного червя от разных разработчиков.

1) Sophos Virus Removal Tool – бесплатная утилита для удаления данного заражения от компании Sophos. Скачать её можно здесь.

2) Kaspersky Brontok Removal Tool – специализированное средство удаления некоторых троянцев и червей в том числе Brontok. Скачать её можно здесь.

3) BitDefender Brontok Removal Tool – средство удаления Brontok от компании BitDefender. Возможно немного устарело и имеет английский интерфейс, но всё же. Скачать можно здесь.

Платные программы

Win32.Brontok.A Removal Tool – специализированное средство разработанное российской компанией Security Stronghold. Удаление в автоматическом режиме, оплата только в случае нахождения вредоносных файлов. Программа продаётся вместе с годовой тех. поддержкой и лицензией на антишпиона True Sword. Скачать можно здесь.

SpyHunter – сканер вредоносного ПО от американской компании Enigma Software Group. Удаление в автоматическом режиме, очень качественная полуавтоматическая система тех. поддержки (на английском). Находит и вычищает много дополнительных угроз которые не обнаруживаются классическими антивирусами. Скачать можно здесь.

Читайте также:  Lenovo ideapad miix 720 12ikb

Что такое Win32.Brontok

Скачать утилиту для удаления Win32.Brontok

Удалить Win32.Brontok вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

Win32.Brontok

(random).exe

Worm

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения Win32.Brontok

Win32.Brontok копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (random).exe. Потом он создаёт ключ автозагрузки в реестре с именем Win32.Brontok и значением (random).exe. Вы также можете найти его в списке процессов с именем (random).exe или Win32.Brontok.

Если у вас есть дополнительные вопросы касательно Win32.Brontok, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Win32.Brontok and (random).exe (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Win32.Brontok в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные Win32.Brontok.

Удаляет все записи реестра, созданные Win32.Brontok.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно – если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Win32.Brontok от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Win32.Brontok.. Утилита для удаления Win32.Brontok найдет и полностью удалит Win32.Brontok и все проблемы связанные с вирусом Win32.Brontok. Быстрая, легкая в использовании утилита для удаления Win32.Brontok защитит ваш компьютер от угрозы Win32.Brontok которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Win32.Brontok сканирует ваши жесткие диски и реестр и удаляет любое проявление Win32.Brontok. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Win32.Brontok. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Win32.Brontok и (random).exe (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Win32.Brontok.

Удаляет все записи реестра, созданные Win32.Brontok.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно – если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Win32.Brontok и удалить Win32.Brontok прямо сейчас!

Оставьте подробное описание вашей проблемы с Win32.Brontok в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Win32.Brontok. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Win32.Brontok.

Как удалить Win32.Brontok вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Win32.Brontok, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Win32.Brontok.

Читайте также:  Лучшие приложения для планшета android

Чтобы избавиться от Win32.Brontok, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Win32.Brontok для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи иили значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Win32.Brontok для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

Win32.Brontok иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию "Сбросить настройки браузеров" в "Инструментах" в программе Stronghold AntiMalware для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Win32.Brontok. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: "inetcpl.cpl".

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: "inetcpl.cpl".

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:Users"имя пользователя"AppDataLocalGoogleChromeApplicationUser Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Stronghold AntiMalware.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock detector