Worm.Brontok



Contents

Généralités :

Il se propage via de des logiciels avec des installations truquées depuis les sites 01net, CNET, BrotherSoft, Eazel.com ou Softonic.
– Il se propage aussi via les réseaux de partages Peer To Peer et les clés USB.
– Il doit être immédiatement supprimé car il présente un risque pour votre système et vos données personnelles.

 

Caractéristiques :

– Il appartient à une famille de ver virus.
– Un virus est un programme nuisible qui s’installe via des logiciels légitimes.
– Developpé par la société Unknown.

 

Actions principales :

– Il désactive l’accès aux options de dossiers de l’explorateur Windows (NoFolderOptions),
– Il désactive l’association d’application (Application),
– Il désactive l’accès à la base de Registre (DisableRegistryTools),
– Il redirige le chemin de démarrage de l’explorateur Windows (Shell),
– Il installe plusieurs processus, identiques mais renommés, au démarrage du système (RP),
– Il s’installe dans la Base de Registres afin d’être lancé à chaque démarrage du système (O4),
– Il crée des dossiers supplémentaires (O43),
– Il installe un processus de taille variable au niveau du dossier système (O44),

 

Aperçu ZHPDiag, NCDiag :

—\\ Security Center & Tools Informations
[fusion_builder_container hundred_percent= »yes » overflow= »visible »][fusion_builder_row][fusion_builder_column type= »1_1″ background_position= »left top » background_color= » » border_size= » » border_color= » » border_style= »solid » spacing= »yes » background_image= » » background_repeat= »no-repeat » padding= » » margin_top= »0px » margin_bottom= »0px » class= » » id= » » animation_type= » » animation_speed= »0.3″ animation_direction= »left » hide_on_mobile= »no » center_content= »no » min_height= »none »][HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer] NoFolderOptions: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: Modified

—\\ Processus lancés
[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C].(…) — C:\Users\Coolman\AppData\Local\winlogon.exe [45370]
[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C].(…) — C:\Users\Coolman\AppData\Local\services.exe [45370]
[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C].(…) — C:\Users\Coolman\AppData\Local\lsass.exe [45370]

–\\ Applications démarrées par registre & par dossier (O4)
O4 – HKLM\..\Run: [] . (…) — C:\Windows\ShellNew\bbm-stnmohhc.exe
O4 – HKCU\..\Run: [Tok-Cirrhatus-2058] . (…) — C:\Users\Coolman\AppData\Local\br5139on.exe
O4 – HKCU\..\Run: [Tok-Cirrhatus-2487] . (…) — C:\Users\Coolman\AppData\Local\smss.exe
O4 – HKUS\S-1-5-21-516480667-1515705343-3813541808-1000\..\Run: [Tok-Cirrhatus-2058] . (…) — C:\Users\Coolman\AppData\Local\br5139on.exe
O4 – HKUS\S-1-5-21-2122359145-2597283433-3642076405-1001\..\Run: [Tok-Cirrhatus-2487] . (…) — C:\Users\Coolman\AppData\Local\smss.exe

—\\ Contenu des dossiers Programs/ProgramFiles/ProgramData/AppData (O43)
O43 – CFD: 07/12/2012 – 00:00:00 – [0] —-D C:\Users\Coolman\AppData\Local\Bron.tok-15-7
O43 – CFD: 08/12/2012 – 00:00:01 – [0] —-D C:\Users\Coolman\AppData\Local\Bron.tok-15-8
O43 – CFD: 09/12/2012 – 17:25:24 – [0] —-D C:\Users\Coolman\AppData\Local\Bron.tok-{Random nombers}
O43 – CFD: 15/06/2011 – 15:10:08 – [7191] —-D- C:\Users\Coolman\AppData\Local\Loc.Mail.Bron.Tok
O43 – CFD: 23/11/2012 – 18:13:37 – [0] —-D C:\Users\Coolman\AppData\Local\Ok-SendMail-Bron-tok

—\\ Derniers fichiers modifiés ou crées sous Windows et System32 (O44)
O44 – LFC:[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] – 05/07/2011 – 12:01:06 —A- . (…) — C:\Windows\System32\DXBLAL.exe [45370]
O44 – LFC:[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] – 05/07/2011 – 12:01:06 —A- . (…) — C:\Windows\System32\XXX’s Setting.scr [45370]
O44 – LFC:[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] – 05/07/2011 – 12:01:06 —A- . (…) — C:\Windows\System32\cmd-bro-omx.exe [45370] O44 – LFC:[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] – 05/07/2011 – 12:01:06 –H– . (…) — C:\Windows\sembako-chzjmoh.exe [45370]

—\\ Derniers fichiers modifiés ou crées (Utilisateur) (O61)
O61 – LFC:Last File Created 20/12/2012 – 21:56:55 —A- C:\Users\Coolman\AppData\Local\Update.15.Bron.Tok.bin [12393]

—\\ Recherche particuliere à la racine de certains dossiers (O84)
[MD5.B3D17DB03AC271C68AC81433260D22DF] [SPRF][22/07/2012] (…) — C:\Users\Coolman\AppData\Local\Bron.tok.A12.em.bin [12393]

—\\ Recherche d’infection Rogue (SRI) (O86)
[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\br5139on.exe [45370] [MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\csrss.exe [45370] [MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\inetinfo.exe [45370] [MD5.A8CB9FA148831E8842E5B4FB047AF5CC] [SPRF][16/03/2011] (…) — C:\Users\Coolman\AppData\Local\JunkAtx18.bin [389]
[MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\lsass.exe [45370] [MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\services.exe [45370] [MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\CoolmanAppData\Local\smss.exe [45370] [MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\svchost.exe [45370] [MD5.679C5D0E5F953F3B2080EE2F18ADDA2C] [SPRF][05/07/2011] (…) — C:\Users\Coolman\AppData\Local\winlogon.exe [45370]

—\\ Scan Additionnel (O88 )
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Tok-Cirrhatus-2058
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Tok-Cirrhatus-2487
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:Bron-Spizaetus-chhomnts
C:\Users\Coolman\AppData\Local\Ok-SendMail-Bron-tok
C:\Users\Coolman\AppData\Local\Loc.Mail.Bron.Tok
C:\Users\Coolman\AppData\Local\Bron.tok-15-9
C:\Windows\KesenjanganSosial.exe
C:\Windows\ShellNewRakyatKelaparan.exe
C:\Windows\System32\cmd-brontok.exe

 

Liens :

www.commentcamarche.net
en.wikipedia.org
www.avira.com

Alias :

ADWARE/Adware.Gen [Avira] PUP.Optional.Linkey.A [Malwarebytes]

 

Supprimer (Remove) :

– Appliquer un script de nettoyage ZHPFix pour les lignes identifiées dans le rapport ZHPDiag,NCDiag

 

Nettoyeurs (Cleaners):

Malwarebytes’s Antimalwares [Malwarebytes]
ZHPFix Script [Nicolas Coolman]

 

(C) Copyrights 2014 – Nicolas Coolman – All rights reserved


Rate this post

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Retour en haut