zoukankan      html  css  js  c++  java
  • 又一个改写MBR的病毒(TDSS TDL4)

     

    此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。
    此毒的主要行为是改写MBR,并在硬盘尾部的190个扇区内写入病毒代码。
    病毒的上述动作可穿透还原类软件对系统的保护。
    我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本,Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为:运行病毒样本后,重启电脑,脱离Try&Decide模式,不能登录系统。
    此后,用WIN7 PE U盘引导,在PE环境下,重建MBR,并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂!

    此毒行为的另一特点是:它添加的注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerPendingFileRenameOperations键值用普通的注册表编辑工具不能发现。但用XueTr可以发现(此键值指向病毒在当前用户临时目录下释放的两个tmp程序)

    附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块:

















    附件是病毒样本
    样本名称2IC.rar 此毒为TDSS TDL4 的变种
    此毒的主要行为是改写MBR,并在硬盘尾部的190个扇区内写入病毒代码。
    上述病毒动作可穿透还原类软件。
    我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本,Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为:重启电脑,脱离Try&Decide模式,不能登录系统。
    此后,用WIN7 PE U盘引导,在PE环境下,重建MBR,并清除硬盘尾部190个扇区的病毒代码。再重启系统。搞掂!
    附上此毒样本及其释放的病毒文件(无密码);其中setup3541977020是此样本运行后释放的病毒主体

    本部分内容设定了隐藏,需要回复后才能看到
  • 相关阅读:
    Tabs 选项卡插件(续)
    Menu 菜单插件
    jquery Star Rating - 星形评级插件
    Tabs 选项卡插件
    jQuery Tooltips插件
    jQuery信息提示插件(jQuery Tooltip Plugin)
    Accordion 手风琴 折叠菜单插件
    Calendars 日历插件
    Microsoft Windows 2000 professional(集成SP4)简体中文专业版下载
    俄罗斯商务资讯网(门户网站)
  • 原文地址:https://www.cnblogs.com/xiongwei/p/9549783.html
Copyright © 2011-2022 走看看