又一个改写MBR的病毒（TDSS TDL4） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛又一个改写MBR的病毒（TDSS TDL4）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

[原创] 又一个改写MBR的病毒（TDSS TDL4）

本主题由大版主 baohe 于 2011-2-23 8:47:44 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2011-02-11 17:13 \| 只看楼主短消息资料字号：小中大 1楼又一个改写MBR的病毒（TDSS TDL4）此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。此毒的主要行为是改写MBR，并在硬盘尾部的190个扇区内写入病毒代码。病毒的上述动作可穿透还原类软件对系统的保护。我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本，Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为：运行病毒样本后，重启电脑，脱离Try&Decide模式，不能登录系统。此后，用WIN7 PE U盘引导，在PE环境下，重建MBR，并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂！此毒行为的另一特点是：它添加的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations\键值用普通的注册表编辑工具不能发现。但用XueTr可以发现（此键值指向病毒在当前用户临时目录下释放的两个tmp程序）附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块： 0.png (1163.47 K) 2011-2-11 17:13:25 1.png (505.19 K) 2011-2-11 17:13:25 2.PNG (961.93 K) 2011-2-11 17:13:25 3.PNG (1192.77 K) 2011-2-11 17:13:25 4.PNG (508.81 K) 2011-2-11 17:13:25 用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.7.62 Version/11.00 baohe 最后编辑于 2011-04-09 12:18:40
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2011-02-11 18:03 \| 短消息资料字号：小中大 2楼回复：又一个改写MBR的病毒（TDSS TDL4）只有加库防了这后期的处理，杀毒软件都有点力不从心的感觉百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76904 注册: 2007-02-06 来自:

春天的小水竹自信弱冠狮帖子:431 注册: 2007-03-23 来自:	发表于： 2011-02-12 10:08 \| 短消息资料字号：小中大 3楼回复：又一个改写MBR的病毒（TDSS TDL4）真杯具。。。又一个搞磁盘扇区的病毒，非专业的菜鸟遇到这类病毒只有哭的份了
春天的小水竹自信弱冠狮帖子:431 注册: 2007-03-23 来自:

奇缘の随风拙长孩提狮帖子:132 注册: 2006-11-07 来自:	发表于： 2011-02-12 16:10 \| 短消息资料字号：小中大 4楼回复：又一个改写MBR的病毒（TDSS TDL4）明媚汉化的CA HIPS
奇缘の随风拙长孩提狮帖子:132 注册: 2006-11-07 来自:

流浪●剑尊叱咤花甲狮帖子:2117 注册: 2010-01-01 来自:中华人民共和国	发表于： 2011-02-13 11:08 \| 短消息资料字号：小中大 5楼回复：又一个改写MBR的病毒（TDSS TDL4）猫叔，你啥时也教我两招，我也去弄个毒测试一下专业维修核潜艇、反应堆，xxx 头翻新、抛光、打蜡，回收二手航母，清洗航母油槽，航天飞机保养换三滤，高空作业清洗卫星表面灰尘，批发歼-10.F22.F35.B2轰炸机，各类xxx 头，量大从优，有xxx，三个月内提货，送两年免费保养和飞机后视镜。另承接火车补胎，订做蚊子眼睛，蚂蚁刨腹产等业务.有正规xxx，质量三包.另外新到一批野生散养奥特曼，纯天然，无污染.一批未调试的野生多啦A梦，欲购从速！！
流浪●剑尊叱咤花甲狮帖子:2117 注册: 2010-01-01 来自:中华人民共和国

风之仙快乐黄口狮帖子:202 注册: 2010-12-09 来自:	发表于： 2011-02-13 12:58 \| 短消息资料字号：小中大 6楼回复：又一个改写MBR的病毒（TDSS TDL4）猫叔用什么工具清除硬盘扇区的病毒代码的？我在网上看到说遇到引导区病毒在PE下更新一下MBR就行了，是这样的吗？
风之仙快乐黄口狮帖子:202 注册: 2010-12-09 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2011-02-14 20:55 \| 只看楼主短消息资料字号：小中大 7楼回复: 又一个改写MBR的病毒（TDSS TDL4）引用: 原帖由风之仙于 2011-2-13 12:58:00 发表猫叔用什么工具清除硬盘扇区的病毒代码的？我在网上看到说遇到引导区病毒在PE下更新一下MBR就行了，是这样的吗？ 1、用sectorediter清除硬盘扇区尾部的病毒内容。 2、这类病毒的变种有多个。有的，可以通过在PE下重建MBR简单解决；有的则不行。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

nocrack 反毒学员帖子:49 注册: 2011-01-02 来自:	发表于： 2011-02-15 10:45 \| 短消息资料字号：小中大 8楼回复：又一个改写MBR的病毒（TDSS TDL4）大版主：我在网上找了很多sectorediter，结果跟（http://bbs.ikaka.com/showtopic-8734239.aspx）这位仁兄是一样的，故恳请 baohe 能给我发一份，或者说一下解压密码邮箱：nocrack@foxmail.com nocrack 最后编辑于 2011-02-15 10:46:16
nocrack 反毒学员帖子:49 注册: 2011-01-02 来自:

attackgod 初生襁褓狮帖子:139 注册: 2011-01-05 来自:	发表于： 2011-02-15 21:06 \| 短消息资料字号：小中大 9楼回复：又一个改写MBR的病毒（TDSS TDL4）学习到了
attackgod 初生襁褓狮帖子:139 注册: 2011-01-05 来自:

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2011-02-15 21:14 \| 短消息资料字号：小中大 10楼回复：又一个改写MBR的病毒（TDSS TDL4）小白中了后就悲剧了
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

页面顶部

Powered by Discuz!NT