Технические детали
Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22987 байт. Упакована при помощи MEW. Распакованный размер – около 162 КБ. Написана на Visual Basic.
Инсталляция
После запуска вирус создает копии своего тела под следующими именами:
%Temp%/Kill Brontok.exe
%WinDir%/Screen Task.scr
%Documents and Settings%/username/taskmgr.exe
Где username - имя текущего пользователя Windows.
При этом файлу с именем "taskmgr.exe" устанавливает атрибуты "скрытый" и "системный".
Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на копии своего исполняемого файла в ключи автозапуска системного реестра:
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"Task" = "%Documents and Settings%/username/taskmgr.exe"
[HKCU/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell" = "%WinDir%/Explorer.exe %Documents and Settings%/username/taskmgr.exe"
Для автоматического запуска копии вируса каждые 600 секунд, при бездействии операционной системы, активирует автоматический запуск экранной заставки и прописывает свою копию по пути к файлу экранной заставки, добавив следующую информацию в ключ системного реестра:
[HKCU/Control Panel/Desktop]
"ScreenSaveTimeOut" = "600"
"ScreenSaveActive" = "1"
"SCRNSAVE.EXE" = "%WinDir%/Screen Task.scr"
Вирус копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:
X:/Boot.exe
Где X - буква диска компьютера пользователя.
Также помещает в корень диска сопровождающий файл:
X:/autorun.inf
который запускает исполняемый файл вируса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".
Деструктивная активность
Для скрытия расширений исполняемых файлов добавляет следующую информацию в ключ системного реестра:
[HKCR/exefile]
"NeverShowExt"=""
Изменяет параметры работы зон безопасности браузера, добавив следующую информацию в ключи системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMap]
"ProxyByPass" = "1"
"IntranetName" = "1"
"UNCAsIntranet" = "1"
На логических дисках компьютера пользователя вирус производит поиск файлов с расширением "htm". Во всех найденных файлах ищет почтовые адреса, на которые отсылает письма следующего вида:
Тема письма: Reply DataFolder
Текст письма: Please Save Attachment File For Detail Data In File
( Save Attachment and after that Open the DataFle Scan Virus)
Имя файла-вложения: Kill Brontok.exe
Рекомендации по удалению
Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
- При помощи Диспетчера задач завершить вредоносные процессы:
Kill Brontok.exe
Screen Task.scr
taskmgr.exe
- Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
- Удалить файлы:
%Temp%/Kill Brontok.exe
%WinDir%/Screen Task.scr
%Documents and Settings%/username/taskmgr.exe
X:/Boot.exe
X:/autorun.inf
- Удалить параметр ключей системного реестра:
[HKCR/exefile]
"NeverShowExt"=""
[HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/policies/Explorer/Run]
"Task" = "%Documents and Settings%/username/taskmgr.exe"
[HKCU/Software/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell" = "%WinDir%/Explorer.exe %Documents and Settings%/username/taskmgr.exe"
[HKCU/Control Panel/Desktop]
"SCRNSAVE.EXE" = "%WinDir%/Screen Task.scr"
- При необходимости восстановить значения параметров ключа системного реестра:
[HKCU/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMap]
"ProxyByPass" = "1" "IntranetName" = "1" "UNCAsIntranet" = "1"
- Очистить каталог Temporary Internet Files.
- Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами (скачать пробную версию).
Источник: securelist.com.
| 
