Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (-PE EXE-файл)-.
Вредоносная программа, заражающая файлы на компьютере пользователя. Программа является приложением Windows (PE EXE-файл). Имеет размер 22987 байт. Упакована при помощи MEW. Распакованный размер - около 162 КБ. Написана на Visual Basic.
Инсталляция
После запуска вирус создает копии своего тела под следующими именами:
%Temp%\Kill Brontok.exeГде
%WinDir%\Screen Task.scr
%Documents and Settings%\\taskmgr.exe
При этом файлу с именем "taskmgr.exe" устанавливает атрибуты "скрытый" и "системный".
Для автоматического запуска при каждом следующем старте системы вирус добавляет ссылку на копии своего исполняемого файла в ключи автозапуска системного реестра:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]"Task" = "%Documents and Settings%\
[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "%WinDir%\Explorer.exe %Documents and Settings%
\
[HKCU\Control Panel\Desktop]Вирус копирует свое тело во все доступные на запись сетевые, логические и съемные диски под именем:
"ScreenSaveTimeOut" = "600"
"ScreenSaveActive" = "1"
"SCRNSAVE.EXE" = "%WinDir%\Screen Task.scr"
Где:\Boot.exe
Также помещает в корень диска сопровождающий файл:
который запускает исполняемый файл вируса, каждый раз, когда пользователь открывает зараженный раздел при помощи программы "Проводник".:\autorun.inf
name="doc3">
Деструктивная активность
Для скрытия расширений исполняемых файлов добавляет следующую информацию в ключ системного реестра:
[HKCR\exefile]Изменяет параметры работы зон безопасности браузера, добавив следующую информацию в ключи системного реестра: [HKCU\Software\Microsoft\Windows\CurrentVersion\
"NeverShowExt"=""
Internet Settings\ZoneMap]
"ProxyByPass" = "1"
"IntranetName" = "1"
"UNCAsIntranet" = "1"На логических дисках компьютера пользователя вирус производит поиск файлов с расширением "htm". Во всех найденных файлах ищет почтовые адреса, на которые отсылает письма следующего вида:
Тема письма:
Reply DataFolderТекст письма:
Please Save Attachment File For Detail Data In FileИмя файла-вложения:
( Save Attachment and after that Open the DataFle Scan Virus)
Kill Brontok.exe