瑞星卡卡安全论坛
baohe - 2007-12-22 23:00:00
ring3下穿透还原保护,破坏硬盘前4KB数据。这是此演示病毒作者的原话。
在“影子系统”下试验了一下————穿了!
SSM等带防止磁盘底层访问的DD可以阻止这个演示程序。瑞星不能。
穿透实现后,可以看到作者得意的炫耀(图1)。这时,重启系统——菜鸟们只有哭的份儿了(图2)。
解决问题的办法不复杂。用Diskman或其升级版DiskGen修复MBR,重启即可。
已经在几个论坛上看到这个演示样本。估计可能很快会有人将其改造成真正的病毒。提醒大家注意防范。
图1
[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)附件:
15584720071222224853.jpg
baohe - 2007-12-22 23:01:00
天雨墙坏 - 2007-12-22 23:24:00
有点小可怕哦!
瑞星应该马上升级应对此事,不要等到出事后再救火。
防范胜于救灾么!
hotboy - 2007-12-22 23:26:00
我爱猪姐
UFO不幸外人 - 2007-12-23 0:55:00
可怕,解决方法到还简单,但是怕出现此类病毒后就不这么简单了。病毒搞底层破坏,数据不都玩完?!!!!!!!!
jiebe - 2007-12-23 1:18:00
现在只是删除mbr前4k数据 如果加入隐藏318k磁盘空间留给程序自身然后像mbr写入病毒文件引导 那就只能抱着硬盘哭了
天月来了 - 2007-12-23 8:46:00
以后做病毒的,估计不会去折腾的系统重启就完蛋的。
因为涉及木马盗号,如果重启就完蛋,还能盗多少号?????
不用过于担心,未来是个纯金钱的世界,没利益的事,不会再有多少人做了。
不过其穿透影子系统的代码必然会广为流传,就象机器狗一样。
孤独更可靠 - 2007-12-23 8:46:00
HIPS啊~~
学习了
光之创世神 - 2007-12-23 9:46:00
这部电脑还有救吗?
baohe - 2007-12-23 9:54:00
| 引用: |
【光之创世神的贴子】这部电脑还有救吗?
……………… |
我不是照样上网呢吗?
用包含diskman或diskgen软盘或光盘引导系统,修复MBR。重启。OK!整个过程耗时1分钟左右。
天月来了 - 2007-12-23 9:58:00
| 引用: |
【baohe的贴子】
我不是照样上网呢吗?
用包含diskman或diskgen软盘或光盘引导系统,修复MBR。重启。OK!整个过程耗时1分钟左右。
……………… |
猫版
你说的容易。
实际上哪有多少人一开始就会弄diskman或diskgen修复MBR,得百度上学一会才行呢。
光之创世神 - 2007-12-23 10:02:00
而且哪里弄来包含diskman或diskgen软盘或光盘阿?
baohe - 2007-12-23 10:06:00
baohe - 2007-12-23 10:10:00
| 引用: |
【光之创世神的贴子】而且哪里弄来包含diskman或diskgen软盘或光盘阿?
……………… |
超级急救光盘
有“光盘版”、“U盘版”等
根据自己的实际情况,从网上下载、制作
这是华军的下载地址(光盘版):http://www.onlinedown.net/soft/16519.htm
光之创世神 - 2007-12-23 10:11:00
哦
光之创世神 - 2007-12-23 10:18:00
要如何使用超级急救光盘
baohe - 2007-12-23 10:18:00
| 引用: |
【天月来了的贴子】
猫版
你说的容易。
实际上哪有多少人一开始就会弄diskman或diskgen修复MBR,得百度上学一会才行呢。
……………… |
病毒的唯一好处就是:逼用户不断修炼、长本事、不断提高安全意识。
光之创世神 - 2007-12-23 10:19:00
可是多了,会把人逼疯了.那就不好了
流星陨落 - 2007-12-23 11:12:00
拿到学校机房玩玩去
bressli - 2007-12-23 11:19:00
建议尽早加入病毒库,防范胜于杀毒!
gwlucker - 2007-12-23 12:12:00
启动盘一定要软的或者光的么...U盘的启动成不...?
这病毒够狠……呃~破坏MBR的东西……太邪恶了~
电脑中标 - 2007-12-23 13:50:00
请问AdWare.Win32.Agent.zdb和AdWare.Win32。Yokbarn病毒怎么杀
已成过去 - 2007-12-23 14:45:00
厉害啊。。。
sreng - 2007-12-23 15:34:00
使用操作系统的windows故障控制台的命令也可以修复MBR吧,如果记得不错应该是: fixmbr [device_name]
windows故障控制台命令还是挺有用的。
gwlucker - 2007-12-23 15:42:00
| 引用: |
【sreng的贴子】使用操作系统的windows故障控制台的命令也可以修复MBR吧,如果记得不错应该是: fixmbr [device_name]
windows故障控制台命令还是挺有用的。
……………… |
嗯,貌似是可以的~
文物2 - 2007-12-23 16:26:00
| 引用: |
【天月来了的贴子】以后做病毒的,估计不会去折腾的系统重启就完蛋的。
因为涉及木马盗号,如果重启就完蛋,还能盗多少号?????
不用过于担心,未来是个纯金钱的世界,没利益的事,不会再有多少人做了。
不过其穿透影子系统的代码必然会广为流传,就象机器狗一样。
……………… |
像熊猫烧香类损人不利已的病毒很少作了,哪个病毒制造者喜欢很快就见公安啊。
穿透影子系统的代码会在少数地区流传,针对个人或小的局域网。因为有针对性反而不容易被查杀。瑞星如果能作好是帮了人们大忙啊,呵呵。
现在的病毒,大多都为了盗号,隐私来谋取经济利益。穿透影子的代码也可以这么作。
spiritfire - 2007-12-23 16:28:00
深山红叶那个应该可以搞掂MBR修复!
zhongzhi - 2007-12-23 18:00:00
年终岁尾,病毒格外多,中上这类毒,基本上就哭了。
两个铁球 - 2007-12-23 18:28:00
弱弱的问一声:这种情况(引导区头部分数据破坏了)下,将盘作为重盘,用数据恢复工具恢复之并杀毒(权且把这个程序也视为病毒),是否可搞掂咧?
估计也不行?!
附件:
65212420071223182704.jpg
hotboy - 2007-12-23 19:32:00
不知还有多少人在用原来DOS下的工具PCTOOLS,手写MBR
© 2000 - 2026 Rising Corp. Ltd.