又一个改写MBR的病毒（TDSS TDL4） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛又一个改写MBR的病毒（TDSS TDL4）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 23

3 / 3 页

跳转页

[原创] 又一个改写MBR的病毒（TDSS TDL4）

本主题由大版主 baohe 于 2011-2-23 8:47:44 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2011-04-14 10:38 \| 只看楼主短消息资料字号：小中大 21楼回复: 又一个改写MBR的病毒（TDSS TDL4）引用: 原帖由天月来了于 2011-4-14 9:41:00 发表你不知道呢，我们这农村的县城里的修电脑的也是糊涂虫，为了挣钱，遇到引导区的，都是要用户换硬盘的，我都见过好几个了。我自己都向朋友要了一个修理的说坏了的160G硬盘呢，修复引导区以后用的好好的。二嫂聪明啊！你用的硬盘，以后就找那些傻冒供应吧。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

暴风一号飘泊而立狮帖子:530 注册: 2010-02-01 来自:浙江宁波	发表于： 2011-04-23 20:53 \| 短消息资料字号：小中大 22楼回复：又一个改写MBR的病毒（TDSS TDL4）一旦怀疑中MBR病毒只要用DOS命令或分区工具里修复或重新写MBR就可以了这种MBR病毒，一般没有可以找到的病毒体。因为此病毒已经在启动系统的时候，已经启动了。通常杀毒软件有点“力不从心”了。建议升级到WIN7，目前这种病毒还是针对XP的
暴风一号飘泊而立狮帖子:530 注册: 2010-02-01 来自:浙江宁波

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2011-04-23 21:08 \| 只看楼主短消息资料字号：小中大 23楼回复: 又一个改写MBR的病毒（TDSS TDL4）引用: 原帖由暴风一号于 2011-4-23 20:53:00 发表一旦怀疑中MBR病毒只要用DOS命令或分区工具里修复或重新写MBR就可以了这种MBR病毒，一般没有可以找到的病毒体。因为此病毒已经在启动系统的时候，已经启动了。通常杀毒软件有点“力不从心”了。建议升级到WIN7，目前这种病毒还是针对XP的 WIN7 就不会中引导区病毒？你说的是鬼影吧？ TDSS TDL4和鬼影不是一码事。我这个帖子就是在WIN7 系统中实机运行TDSS TDL4 样本后写的。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

湖心小筑拙长孩提狮帖子:130 注册: 2006-08-28 来自:	发表于： 2011-04-28 23:10 \| 短消息资料字号：小中大 24楼回复：又一个改写MBR的病毒（TDSS TDL4）你上次分析的样本交流区里的那个，我在xp下运行后直接用卡巴专杀杀后，重启硬盘末尾的卡巴不会置0，但重启后未尾病毒的也没有被加载执行，进入系统用xuert也没有驱动项中也没有可疑的东东，说明卡巴的专杀可以处理。这个新的变种不知道能不能杀，楼主可否提供一下样本。卡巴专杀为官网下载的最新版的我另外测试了直接在PE下修复MBR也可以搞定你前面的样本。不用把硬盘末尾置0 不知道硬盘末尾的病毒是否也是靠前面的MBR引导定位后才能执行，如果说不用他完全可以不改MBR使病毒更隐密，这个只是个人猜想。
湖心小筑拙长孩提狮帖子:130 注册: 2006-08-28 来自:

菜菜菜菜菜健康舞勺狮帖子:242 注册: 2003-06-04 来自:	发表于： 2011-05-13 14:38 \| 短消息资料字号：小中大 25楼回复：又一个改写MBR的病毒（TDSS TDL4） MBR.... 如果是GPT的卷呢? 天生免疫还是两败俱伤(病毒运行不起来,系统也运行不起来)
菜菜菜菜菜健康舞勺狮帖子:242 注册: 2003-06-04 来自:

<<上一主题|下一主题>>

1 23

3 / 3 页

跳转页

页面顶部

Powered by Discuz!NT