کرم Brontok با آیکن یک فولدر خود را نشان می دهد و با وجود اینکه عامل انتشار این کرم را وب و نامه های الکترونیکی عنوان می کنند اما شکل آیکن نمایشی این فایل اجرایی موجب شده که آن با سرعت بسیار بیشتری برروی کامپیوتر های شخصی منتشر شود. با دست کاری کردن در رجیستری سیستم قربانی پسوند فایل ها نمایش نمی یابند. این کرم علاوه بر اینکه سرعت سیستم شما را کم می کند مانع فعالیت بعضی برنامه ها می شود همچنین اگر شما برنامه ای اجرا کنید که حاوی یکی از تیترهای زير باشد سیستم قربانی Restart خواهد شد:
برای اطلاعات بیشتر توضیحات کامل را مطالعه کنید.

تصوير نمونه

دانلود برنامه فقط براي كاربران عضو امكان پذير است.

کرم Brontok برنامه ای بود که در تاریخ 12 اکتبر سال 2005 (برابر 20 مهر 1384) در سراسر وب منتشر شد.
البته نوع اصلی آن که با عنوان Brontok A مطرح است موضوع این بحث می باشد.
Brontok A كرمی است كه از طریق ایمیل منتشر شده و آدرسهای اینترنتی را از فایل هایی با پسوند های زیر از سیستم آلوده جمع آوری می كند:

ASP, CFM, CSV, DOC, EML, HTML, PHP, TXT, WAB

كرم ممكن است از طریق فایل الحاقی با نام Kangen.exe ارسال شود كه قسمت موضوع آن خالی است و پیغام زیر را در بر دارد:

BRONTOK.A [ By: H[REMOVED]Community ]
-- Hentikan kebobrokan di negeri ini --
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
-- KIAMAT SUDAH DEKAT --
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: H[REMOVED]unity –

مشخصات کرم
این کرم در واقع فقط یک فایل اجرایی با حجم 41 KB (دقیقا 42,624 بایت), است که خود را در سراسر محیط کاری کاربر منتشر می کند.
با وجود اینکه عامل انتشار این کرم را وب و نامه های الکترونیکی عنوان می کنند اما شکل آیکن نمایشی این فایل اجرایی موجب شده که آن با سرعت بسیار بیشتری برروی کامپیوتر های شخصی (حتی آنهایی که به شبکه دسترسی ندارند) منتشر شود.
این کرم با آیکن یک فولدر خود را نشان می دهد و کاربر از همه جا بی خبر به قصد ورود به فولدر مذکور باعث اجرا و آلوده شدن سیستم خود می شود (تصویر نمونه).

فعالیت سیستمی کرم
Brontok خود را در مکان های زیر کپی می کند:

%USERPROFILE%\Local Settings\Application Data\csrss.exe
%USERPROFILE%\Local Settings\Application Data\inetinfo.exe
%USERPROFILE%\Local Settings\Application Data\lsass.exe
%USERPROFILE%\Local Settings\Application Data\services.exe
%USERPROFILE%\Local Settings\Application Data\smss.exe
%USERPROFILE%\Local Settings\Application Data\winlogon.exe
%USERPROFILE%\Start Menu\Programs\Startup\Empty.pif
%USERPROFILE%\Templates\WowTumpeh.com
%SystemRoot%\system32\%USERNAME%'s Setting.scr
%Windir%\eksplorasi.pif
%Windir%\ShellNew\bronstab.exe

علت نامگذاری به نام های "csrss.exe" , "lsass.exe", "services.exe" , "smss.exe" , "winlogon.exe" آن است که وقتی برنامه با نام های مذکور اجرا شوند و شما اقدام به بستن (End Task) آنها از طریق برنامه خدماتی Task Manager کنید, ویندوز به طور زاتی جلوی بسته شدن برنامه هایی با عناوین مذکور را به وسیله کاربر می گیرد !
Empty.pif در شاخه StartUp کاربری فقط به این دلیل ایجاد می شود تا شاید کاربر و یا ویروس یاب جستجوی این مسیر قدیمی (برای اجرای برنامه های Startup تحت کنترل کاربرهای معمولی) را فراموش کند. برای اثبات این مطلب نام فایل را مشاهده کنید که Empty است. عبارت Empty درست زمانی که Startup خالی می باشد نیز به وسیله ویندوز در منوی مربوطه آن نمایش داده می شود. نگران پسوند .Pif هم نباشید چرا که ویندوز با فایل های حاوی این پسوند همان کاری را می کند که با یک فایل اجرایی انجام می دهد. در ضمن با دست کاری کرم در رجیستری سیستم قربانی پسوند فایل ها نمایش نمی یابند.

اما کار اصلی این کرم یعنی انتشار آن بوسیله فایل inetinfo.exe صورت می گیرد. اگر سیستم شما آلوده به این کرم باشد و در صورتی که از برنامه های فایروال (کنترل کننده فعالیت های اینترنتی مانند ZoneAlarm) استفاده کنید متوجه نق زدن های مدام آن خواهید شد که تایید مجوز اتصال برنامه inetinfo.exe را از کاربر می خواهد.
لازم به ذکر است که ایمیل هایی که کرم برای ارسال تهیه نموده در فولدر:

USERPROFILE%\Local Settings\Application Data\Bron.tok-XX٪

جمع آوری شده که XX دو عدد تصادفی می باشد.
در ضمن یک خبر بد سری به مسیر:

%USERPROFILE%\Local Settings\Application Data\Ok-SendMail-Bron-tok

بزنید, تمام فایل هایی که در این مسیر مشاهده می کنید نامه های آلوده ای هستند که توسط سیستم شما به کاربران دیگر فرستاده شده اند.

%SystemRoot%\system32\%USERNAME%'s Setting.scr این فایل نیز در واقع یک Screen Saver  با نام کاربری خودتان است که اگر آن را از بین نبرید ممکن است در اجرای بعدی Screen Saver توسط شما سیستمتان باز آلوده شود.

%Windir%\ShellNew\bronstab.exe نیز زمانی اجرا می شود که در زمان اقدام برای ایجاد یک فایل جدید گزینه bronstab را انتخاب نمایید.

این کرم علاوه بر اینکه سرعت سیستم شما را کم می کند مانع فعالیت بعضی برنامه ها مانند Nero (برای رایت سی دی) می شود. همچنین اگر شما برنامه ای اجرا کنید که تیتر یکی از پنجره های آن برنامه برابر یکی از عناوین زیر باشد سیستم قربانی Restart خواهد شد:

.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE

دست کاری در رجیستری
این کرم تغییرات زیر را در رجیستری ایجاد می کند که بازتاب هر یک همراه آن ذکر شده.

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Tok-Cirrhatus
%USERPROFILE%\Local Settings\Application Data\smss.exe
باعث اجرای برنامه Smss.exe در بالا آمدن بعدی سیستم می شود.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Bron-Spizaetus
%Windir%\ShellNew\bronstab.exe

باعث اجرای برنامه bronstab.exe در بالا آمدن بعدی سیستم می شود.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools
1

باعث غیر فعال شدن ویراستار رجیستری برای ویرایش آن می شود. حتی اگر بتوانید ویراستار رجیستری را اجرا کنید به دلیل اینکه عنوان تیر آن Registry Editor است سیستم شما ری استارت می شود. توجه کنید که برنامه Reg.exe غیر فعال نیست.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions
1

باعث حذف گزینه Folder Option از منوی Tool پنجره های Explorer می شود. یعنی شما قادر به مشاهده مسیر ها و فایل های مخفی نخواهید بود ! به همین سادگی.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableCMD
0

محیط Command Prompt غیر فعال نمی شود ! اما اگر شما CMD را اجرا کنید سیستمتان ری استارت می شود.

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden
0

موجب عدم نمایش فایل های مخفی می شود.

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt
1

موجب عدم نمایش پسوند همه فایل ها می شود. به این ترتیب کاربر برای باز کردن فایل اجرایی که ایکن یک پوشه را دارد رغبت بیشتری نشان می دهد.

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe %Windir%\eksplorasi.pif

این هم یکی دیگر از حفره های ویندوز برای اجرای برنامه ها در زمان Logon شدن می باشد.

و در آخر مدخل:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden
0

در صورتی که با سیستم آلوده مواجه شدید برای نابودی دستی چه کنید
اولین پیشنهادی که به وسیله شرکت های آنتی ویروس ساز در چنین مواقعی ارائه می شود به روز کردن آنتی ویروس (آنتی اسپی وار) است. اما من اینجا آن را پیشنهاد نمی کنم. زیرا به محض اتصال شما به اینترنت فقط موجب نشر کرم می شوید. در ضمن حدف اصلی کرم ها را فراموش نکنید (یعنی ایجاد سوراخ هایی برای ورود دیگر برانامه های مخرب به سیستم قربانی)
البته با تجربه من به روز کردن آنتی ویروس نتیجه مثبتی به همرا ندارد. تا همکنون سه تا از بزرگترین آنتی ویروس و AntiSpyware ها که به روز هم بودند را دیده ام که قادر به شناسایی این کرم نمی باشد (از ذکر نامشان صرف نظر می کنم تا بازار گرمی یا بازار سردی نشود).

پیشنهاد بعدی صاحبین نظر و نرم افزار غیر فعال کردن کرم از طریق ویراستار رجیستری است. جمله زیر به عنوان یک راهکار توسط یکی از سایت های معتبر ارائه جدیدترین آنتی ویروس ها, برای مقابله با این کرم عنوان شده بود:
   - ابتدا از محتویات سیستم خود یک بک آپ تهیه کنید
   - ویراستار رجیستری خود را با اجرای فرمان RegEdit در منوی Run اجرا کنید
   - مدخل های ذکر شده آلوده را به وسیله ویراستار اصلاح کنید ...

چقدر زیبا خوانندگان را می پیچانند !

اما پیشنهاد من
فقط کافیست یک فایل REG با توجه به اصلاح شده مدخلهای آلوده ایجاد کنید با محتویات زیر:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Tok-Cirrhatus"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"ShowSuperHidden"=dword:00000001
"HideFileExt"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Bron-Spizaetus"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"=""

اما فایل مذکور را اجرا نکنید زیرا به تنهایی جواب گو نیست. با توجه به غیر فعال نبودن Reg.exe باید فایل REG را به رجیستری Import کنید. توجه داشته باشید که برای اجرای REG.exe نمی توانید از CMD استفاده کنید پس به وسیله یک Batch فایل کار ها را انجام دهید. محتویات Batch فایل:

reg import c:\Dont.reg

با فرض اینکه فایل REG شما با نام Dont.reg و در مسیر ریشه C:\ باشد.

بعد از این کارها ابتدا باید تمام فایل های آلوده را دستی از بین ببرید. سپس ویندوز را ری استارت کنید.
به شما قول نمی دهم که قادر باشید به طور دستی تمام فایل های آلوده را پیدا و حذف کنید (به خصوص در نسخه های بالاتر از A این کرم که وقتی به یک پوشه وارد می شوید کرم خود را با نام همان پوشه در آن مسیر دوباره ایجاد می کند) به همین دلیل برنامه فوق را نوشته ام که تمام کارها را به یکباره و بدون هیچ زحمتی انجام می دهد.
البته با وجود اینکه چند ماه از زمان انتشار نسخه اولیه کرم می گذرد اما از یک هفته پبش از نوشتن این برنامه با حداقل 10 سیستم مواجه شده ام که به طور جدی به این کرم آلوده بوده اند و فکر می کنم این اپیدمی در حال همه گیر شدن است.
فکر می کنم ازبین بردن دستی این کرم لذت بخش تر باشد در هر حال نوشتن این برنامه تقریبا 5 ساعت از وقتم را گرفت و از شما انتظار دارم که فقط یک دقیقه وقت صرف دادن نظر کنید.

با تشکر جواد سلطانی (آماده جواب گویی به سوالاتتان درباره این کرم همین طور در مقوله رجیستری هستم)