布朗特克(Bron.tok)病毒专杀工具

    这是我自己编写的布朗特克病毒专杀工具，绿色软件无需安装，（需要MS .Net Framework2.0支持）欢迎各位同胞下载试用。有任何建议或意见，请联系我 E-mail:pp34(at)163.com QQ:26927755

编写此程序的缘由：一哥们使用U盘在我电脑上拷贝东西，之后感染了布朗特克病毒，在各大杀毒软件厂商网站都没有找到专杀工具，最后只得按照网上介绍的手工查杀病毒步骤进行查杀。这个步骤很烦琐，并且如果不是专业人员，我估计很难操作，因此决定编写这个专杀工具。

布朗特克病毒（Bron.tok）行为分析：

1、在多处释放病毒副本：

C:\Documents and Settings\admin\「开始」菜单\程序\启动\Empty.pif
C:\Documents and Settings\admin\Local Settings\Application Data\csrss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\inetinfo.exe
C:\Documents and Settings\admin\Local .Settings\Application Data\lsass.exe
C:\Documents and Settings\admin\Local Settings\Application Data\services.exe
C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
C:\Documents and Settings\admin\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\admin\Templates\WowTumpeh.com
C:\WINNT\eksplorasi.pif
C:\WINNT\ShellNew\bronstab.exe
C:\WINNT\system32\admin''s Setting.scr

2、添加注册表，开机启动：

HKEY_CURRENT_USER\Software\Microsof.t\Windows\CurrentVersion\Run
注册表值Tok-Cirrhatus指向：C:\Documents and Settings\admin\Local Settings\Application Data\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表值Bron-Spizaetus指向：C:\WINNT\ShellNew\bronstab.exe

3、修改注册表。禁用CMD、注册表、文件夹选项、显示隐藏文件等等。

4、其中驻进程的伪Lasss.exe、Winlogon.exe、Services.exe使用三进程相互守护。

每隔一段时间检测对方是否.存在，若不在则重新加载。并隔3秒检查一次注册表启动项，如果被删除的话，则重新写回。

5、调用At启用计划任务，预计每天17:08执行病毒副本（WowTumpeh.com）。（汗）

6、查找硬盘内多种

类型文件，读取邮.箱地址.

并保存至C:\Documents and Settings\admin\Local Settings\Application Data\Loc.Mail.Bron.Tok

7、每隔3分钟连接66.218.77.68（Yahoo邮箱服务器）。

后读取Loc.Mail.Bron.Tok邮箱.列表，发送垃圾邮件与病毒附件。

8、查找：

MY DATA SOURCES
MY EBOOKS
MY MUSIC
MY PICTURES
MY SHAPES
MY VIDEOS
MY DOCUMENTS

文件夹，将其目录下的子文件夹为名字复制病毒副本。

例如：

D:\My Documents\.My QQ Files\My QQ Files.exe。

9、查找窗口，遇到特定的名称，则执行关闭系统命令。

例如：CMD

布朗特克病毒专杀工具-Bron.tok_Sweeper_v1.0.0.0.rar(138 KB)