1   1  /  1  页   跳转

[原创] 又一个改写MBR的病毒(TDSS TDL4)

收藏
本主题由 大版主 baohe 于 2011-2-23 8:47:44 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-02-11 17:13 | 显示全部 短消息 资料
字号: 1楼

又一个改写MBR的病毒(TDSS TDL4)

此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。
此毒的主要行为是改写MBR,并在硬盘尾部的190个扇区内写入病毒代码。
病毒的上述动作可穿透还原类软件对系统的保护。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本,Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为:运行病毒样本后,重启电脑,脱离Try&Decide模式,不能登录系统。
此后,用WIN7 PE U盘引导,在PE环境下,重建MBR,并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂!

此毒行为的另一特点是:它添加的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations\键值用普通的注册表编辑工具不能发现。但用XueTr可以发现(此键值指向病毒在当前用户临时目录下释放的两个tmp程序)

附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块:













用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.7.62 Version/11.00
最后编辑baohe 最后编辑于 2011-04-09 12:18:40
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-02-14 20:55 | 显示全部 短消息 资料
字号: 2楼

回复: 又一个改写MBR的病毒(TDSS TDL4)



引用:
原帖由 风之仙 于 2011-2-13 12:58:00 发表
猫叔用什么工具清除硬盘扇区的病毒代码的?我在网上看到说遇到引导区病毒在PE下更新一下MBR就行了,是这样的吗? 



1、用sectorediter清除硬盘扇区尾部的病毒内容。
2、这类病毒的变种有多个。有的,可以通过在PE下重建MBR简单解决;有的则不行。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-02-24 09:58 | 显示全部 短消息 资料
字号: 3楼

回复: 又一个改写MBR的病毒(TDSS TDL4)



引用:
原帖由 奇缘の随风 于 2011-2-24 8:22:00 发表
如何知道从哪里到哪里被改写?
导入导出功能  可以当成备份么?

第一个问题:

正常情况下,硬盘尾部的数百个扇区为空(否则你的硬盘就已经爆满了)。因而,正常情况下,用sectorediter查看硬盘尾部扇区,应该都是空的(扇区内的数字均为0)。


具体操作:
1、打开sectorediter, 点击下图红箭头所指之处,即刻翻到硬盘的最后一个扇区。






2、这时,逐次点击下图蓝箭头所指之处,依次向前逐个扇区浏览。如此逆向浏览到第一个空扇区,即可确定病毒代码占用的硬盘尾部的扇区总数。




注意:中了这个TDSS TDL4变种后,应用WINPE U盘引导系统到WINPE, 在WINPE环境下实施上述操作,才能看到真实内容。在中毒的WINDOWS环境下,你看到的都是正常的内容(因为病毒在搞鬼)。




第二个问题:导出的扇区数据存贮为.bin,可以做为备份。必要时,可以导入。
最后编辑baohe 最后编辑于 2011-02-24 10:01:15
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-04-14 09:34 | 显示全部 短消息 资料
字号: 4楼

回复: 又一个改写MBR的病毒(TDSS TDL4)



引用:
原帖由 selma 于 2011-4-14 9:22:00 发表
那是不是硬盘就毁了



没事的。
手工杀毒即可弄死它。
用WINPE引导,在PE下收拾此毒,即可搞掂。操作并不复杂。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-04-14 10:38 | 显示全部 短消息 资料
字号: 5楼

回复: 又一个改写MBR的病毒(TDSS TDL4)



引用:
原帖由 天月来了 于 2011-4-14 9:41:00 发表
你不知道呢,我们这农村的县城里的修电脑的也是糊涂虫,为了挣钱,遇到引导区的,都是要用户换硬盘的,我都见过好几个了。

我自己都向朋友要了一个修理的说坏了的160G硬盘呢,修复引导区以后用的好好的。 



二嫂聪明啊!


你用的硬盘,以后就找那些傻冒供应吧。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-04-23 21:08 | 显示全部 短消息 资料
字号: 6楼

回复: 又一个改写MBR的病毒(TDSS TDL4)



引用:
原帖由 暴风一号 于 2011-4-23 20:53:00 发表
一旦怀疑中MBR病毒 只要用DOS命令或分区工具里修复或重新写MBR就可以了
这种MBR病毒,一般没有可以找到的病毒体。因为此病毒已经在启动系统的时候,已经启动了。通常杀毒软件有点“力不从心”了。建议升级到WIN7,目前这种病毒还是针对XP的



WIN7 就不会中引导区病毒?你说的是鬼影吧?


TDSS TDL4和鬼影不是一码事。


我这个帖子就是在WIN7 系统中实机运行TDSS TDL4 样本后写的。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT