样本来自剑盟：http://bbs.janmeng.com/thread-948291-1-1.html。 

观测环境：windows 7 旗舰版，全补丁。关闭CAHIPS 的系统保护；再无其它安全软件。

这是一个隐蔽性很强的病毒。

一、病毒样本运行后所见：


1、病毒样本运行后，用XueTr0.36可发现以下异常：





2、病毒样本在WINDOWS7 下运行后，释放下列病毒文件：

C:\windows\system32\spool\PRTPROCS\W32X86\eIQ79317i.dll（随机文件名；每次都变）
C:\Users\Lenovo\AppData\Local\Temp\随机文件名(无后缀）

病毒样本运行后，添加注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations="\??\c:\windows\system32\spool\PRTPROCS\W32X86\eIQ79317i.dll"

3、病毒样本运行、重启系统后，检查注册表，发现病毒创建了下列服务项：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{34DC6DC4-070B-43F7-903B-C922AB6198CA}

"NameServer"="93.188.163.75,93.188.166.110"（乌克兰）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{34DC6DC4-070B-43F7-903B-C922AB6198CA}

"DhcpNameServer"="93.188.163.75,93.188.166.110"（乌克兰）

重启后，第2项描述的两个病毒程序消失（在PE下核实过，确实自动删除了。）

4、病毒样本运行后在硬盘末端扇区 488396997至488397167（共计169个扇区）写入病毒代码。
在WINDOWS7 环境下，用SectorEditor不能发现上述各扇区的病毒代码（查看结果全部为“0”）。
病毒写入硬盘末端169个扇区的那些代码，用WINPEBOOT引导至PE环境下，用SectorEditor可以发现。
在PE环境下用SectorEditor检查MBR，未发现异常。

下面3个图是在WINDOWS7 环境下，用SectorEditor查看硬盘末端扇区的3个截图（内容全部看不到）：








下面是在WINPE 环境下，用SectorEditor查看硬盘末端扇区与上面win7下所见三个对应扇区的截图：








5、在PE环境下可以发现病毒释放的驱动c:\windows\temp\IQ3179m.sys（MD5: AA7E367F5CE98B846919963891CC688A；Kaspersky 报为 Rootkit.Win32.TDSS.ufl）



二、手工杀毒：

在PE下，用SectorEditor将硬盘末端扇区488396997至488397167全部填“0”（见下图）。


删除病毒驱动c:\windows\temp\IQ3179m.sys。
重启到WINDOWS7 环境。
删除病毒添加的上述注册表内容。



用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.6.30 Version/10.62

此毒更改DNS设置 ：




杀毒后，如果需要用DNS，应重新设置DNS。不用 DNS者此项留空即可。 






用XueTr0.36检查第一项描述的现象：全部消失。


杀净病毒的另外一个征象是————用户 可以顺利打开赛门铁克这类反病毒厂商的网页了：






OK！

拜读。。。。。。

这是怎么发现的呢？

在网上查过一些TDL3/TDL4的资料。多提到这类病毒在硬盘末尾若干扇区写入病毒代码。
因此，就用两个硬盘同样大小的电脑做了一个对比：一个电脑中运行此毒；另一个电脑上不运行此毒。然后，引导到PE环境下，用sectoreditor从硬盘最后一个扇区往前逐一观察/记录。
对比这两台电脑硬盘末端扇区内容，得到答案。

哦，谢谢了。我那样本是感染系统驱动的，不知和硬盘末尾扇区写入的病毒代码是啥关系呢。

这些病毒也整得太复杂了

目的是躲避杀软的查杀或借助工具手杀。


中此毒后，用SRENG等常用工具看不出啥异常。


病毒驱动加载后，病毒文件及病毒添加的注册表内容统统被此驱动过滤掉了。在WINDOWS 环境下用资源管理器根本就找不到病毒的蛛丝马迹。



即使用XueTr这类工具能查出些蛛丝马迹，但也奈何它不得。


另外，在中毒后的WIN7 环境中，此毒能骗过sectoreditor的扇区查看/编辑（看到的内容不真实）。这是我第一次遇到。


PS: 想了些办法，总算把此毒释放并隐藏的较深的病毒文件找到并抓获了
1、%windows%\temp\E7931s.sys    (随机文件名；33.5K;MD5: AA7E367F5CE98B846919963891CC688A)。
2、%system%\ernel32.dll    (109K;MD5: 0BA7059F06AA36C3FE7966A2BA18FA61)。
3、%system%\spool\prtprocs\w32x86\aA31eI3.dll   (随机文件名；109K;MD5: 0BA7059F06AA36C3FE7966A2BA18FA61)。
4、%userprofile%\temp\g7i317    (随机文件名；109K;MD5: E6952E9EC3DECE0BB7995F245F173BC9)。



附件就是（密码：123）

附件: Desktop.rar (2010-10-3 14:59:40, 339.76 K)
该附件被下载次数 352

看完猫叔的帖子不得不穿上马甲来留名啊

猫叔给力 这分析报告给的 自行惭愧啊。



鬼影以后 很多猥琐流病毒都开始琢磨怎么倒蹬硬盘了 再加上驱动隐藏 恩 以后安全这问题就越来越难整了。。。