12   1  /  2  页   跳转

[原创] TDSS TDL4越发嚣张了

TDSS TDL4越发嚣张了

这个改写MBR的后门,国外很流行。此前国内并不多见。
昨天在卡饭见到一网友说:下载了一个啥注册机,毫不犹豫的就运行了。结果,就着着实实的中招了。
下载其提供的样本,开着RIS2011(最新病毒库,默认防护设置)运行此样本。结果RIS2011 无任何反应!以前见到的那些TDSS TDL4 变种RIS2011 的主动防御还都能挡住。但这次,RIS2011 彻底漏了。

1、中毒后,用XueTr在中毒环境中看到的异常:


2、中毒后,在WINPE环境看到的中毒症状:




病毒在硬盘尾部260多个扇区内写入的病毒代码:



3、前面已经说过, RIS2011 完全被此毒绕过了。很多人相信卡巴的专杀TDSSKILLER可以搞掂此毒。它真能搞掂吗?看图:
















4、还是XueTr说实话啊!下图是卡巴专杀TDSSKILLER声称搞掂此毒后,用XueTr看到的:








卡巴那个专杀不管清理硬盘尾部那200多个扇区内的病毒代码。









最后,俺还是用WINPE U盘引导,用老办法,在WINPE环境下手工搞掂了它。
用户系统信息:Opera/9.80 (Windows NT 6.1; U; en) Presto/2.7.62 Version/11.01
最后编辑baohe 最后编辑于 2011-02-25 15:42:50
分享到:
gototop
 

回复:TDSS TDL4越发嚣张了

可疑文件交流区那个吧,已经上报了。
gototop
 

回复: TDSS TDL4越发嚣张了



引用:
原帖由 networkedition 于 2011-2-25 15:32:00 发表
可疑文件交流区那个吧,已经上报了。 



恐怕瑞星不能简单加库了事。此变种绕过了RIS2011的主防。
gototop
 

回复 3F baohe 的帖子

一贯都是一开始简单加库杀文件了事
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:TDSS TDL4越发嚣张了

继续关注
gototop
 

回复:TDSS TDL4越发嚣张了

来看看老朋友的帖子。问好~
gototop
 

回复:TDSS TDL4越发嚣张了

过主动防御的问题已单独上报,如有结果会尽快给您回复。
gototop
 

回复:TDSS TDL4越发嚣张了

最新版本瑞星主动防御可以拦截,请升级。
gototop
 

回复: TDSS TDL4越发嚣张了



引用:
原帖由 万事达 于 2011-3-10 11:38:00 发表
最新版本瑞星主动防御可以拦截,请升级。



谢谢老万
gototop
 

回复:TDSS TDL4越发嚣张了

关键是你如何定位到最后的硬盘尾部260多个扇区?他又是如何使病毒启动的?要是以后病毒写在别的地方不是就找不到了?能否说一下定位思路,或者提供一下样本
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT