瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 关于近期流行的那个改写MBR的病毒

1234   1  /  4  页   跳转

[原创] 关于近期流行的那个改写MBR的病毒

收藏
本主题由 大版主 baohe 于 2010-5-31 21:21:36 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-05-21 12:15 | 只看楼主 短消息 资料
字号: 1楼

关于近期流行的那个改写MBR的病毒

其实,这个病毒RIS2010早就报了(Trojan.Win32.Generic.12053A2D)。

此毒在WINDOWS 7下基本不能运行,也不能改写MBR。

为了揭开此毒的神秘面纱,看看它什么德行,俺只好重启到WINOWS XP下,看看它到底搞了些啥鬼花活。

一、XP环境下实机运行病毒的结果:

1、双击病毒程序chajiangengxin.exe后,它在当前用户临时文件夹中释放一个xxx.txt文件。此处x代表阿拉伯数字。虽然是txt文档,但它却是可执行程序。不信?查看其MD5并与它“老爸”对比(图1):




2、这病毒跟中招用户玩儿“障眼法”,汗!以致不少人认为“中此毒后的一个特征是windows\temp目录下反复出现alg.exe或ali.exe”。其实不是这么回事。看看病毒进程就明白了(图2、图3):






3、chajiangengxin.exe运行后多次访问网络(图4)




4、中招后,MBR确实被此毒改写了。图5为运行此毒前的MBR;图6为此毒运行后的MBR。






5、该毒运行访问网络后,不知咋的就报错了!汗!(图7)



6、此毒改写过的win.ini(图8):



7、此毒释放的文件(图9):



8、此毒运行后的注册表改动(图10):



用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.2.15 Version/10.10
最后编辑baohe 最后编辑于 2010-05-21 12:18:54
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-05-21 12:15 | 只看楼主 短消息 资料
字号: 2楼

回复:关于近期流行的那个改写MBR的病毒

二、手工收拾残局:

1、断网。结束病毒进程。删除win.ini。

2、删除病毒释放的文件,并用工具打扫注册表垃圾。

3、恢复MBR。这步操作要仔细、小心,不要搞错。可用BOOTICE之类的工具(操作见下图)。注意:我的电脑是XP+WINDOWS 7双系统,所以在下图中勾选最后一个复选框。如果系统是XP,请勾选下图中的倒数第二个复选框。







4、重启。重启后核对一下MBR,无误。OK!




最后编辑baohe 最后编辑于 2010-05-21 14:48:16
gototop
 
病毒4
头像
叱咤花甲狮
  • 帖子:7290
  • 注册: 2008-09-05
  • 来自:
万圣之夜勋章论坛8周年活动礼物就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞十周年国庆61周年2010国庆勋章论坛12周年勋章
发表于: 2010-05-21 12:27 | 短消息 资料
字号: 3楼

回复:关于近期流行的那个改写MBR的病毒

这种毒感觉不是很厉害,就是改个MBR清理那些文件比较麻烦。。。
gototop
 
踩着草说肏
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2010-05-21
  • 来自:
发表于: 2010-05-21 21:23 | 短消息 资料
字号: 4楼

回复:关于近期流行的那个改写MBR的病毒

我电脑用了一下U盘、然后图片、比如说保存到桌面、在打开一看的话、图片就会变样、能不能帮我解决一下
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-05-23 01:08 | 短消息 资料
字号: 5楼

回复:关于近期流行的那个改写MBR的病毒

不是 猫叔,这个东东连接网络没有下载执行一些什么吗?感觉连接网络后,一般的会有点反映啊 Tiny应该有点反映把。。

还有 猫叔,你的那个Tiny是怎么把注册表和文件之类分开显示的啊,我的那个英文版本不知道咋分
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2010-05-23 07:11 | 短消息 资料
字号: 6楼

回复 5F jks_风 的帖子

逆向追踪功能

然后用那个行为分析器
结束逆向追踪,分析结果

然后看就是
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-05-23 10:41 | 只看楼主 短消息 资料
字号: 7楼

回复: 关于近期流行的那个改写MBR的病毒



引用:
原帖由 jks_风 于 2010-5-23 1:08:00 发表
不是 猫叔,这个东东连接网络没有下载执行一些什么吗?感觉连接网络后,一般的会有点反映啊 Tiny应该有点反映把。。



看图7-图8
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-05-23 14:44 | 短消息 资料
字号: 8楼

回复: 关于近期流行的那个改写MBR的病毒



引用:
原帖由 夲號ヱ被ジ盜 于 2010-5-23 7:11:00 发表
逆向追踪功能

然后用那个行为分析器
结束逆向追踪,分析结果

然后看就是


谢谢~
gototop
 
jks_风
头像
锋芒艾服狮
  • 帖子:2235
  • 注册: 2009-12-17
  • 来自:China
论坛9周年纪念09欢乐圣诞10温馨圣诞世界杯勋章实习生小红花与爱同行
发表于: 2010-05-23 14:45 | 短消息 资料
字号: 9楼

回复: 关于近期流行的那个改写MBR的病毒



引用:
原帖由 baohe 于 2010-5-23 10:41:00 发表


引用:
原帖由 jks_风 于 2010-5-23 1:08:00 发表
不是 猫叔,这个东东连接网络没有下载执行一些什么吗?感觉连接网络后,一般的会有点反映啊 Tiny应该有点反映把。。



看图7-图8


恩,貌似很多都是释放到临时文件夹
gototop
 
狂妄之龙
头像
拙长孩提狮
  • 帖子:110
  • 注册: 2010-01-25
  • 来自:自由圣域
发表于: 2010-05-24 20:50 | 短消息 资料
字号: 10楼

回复:关于近期流行的那个改写MBR的病毒

好厉害,学习了
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT