1   1  /  1  页   跳转

[原创] Win8系统中能运行的ZeroAccess木马

Win8系统中能运行的ZeroAccess木马

系统:Win8预览版,全补丁

杀软:毒霸2012(Win8预览版)

以前的ZeroAccess样本基本不能在Win8系统内完全运行起来。今天这个新变种则可在Win8中流畅运行。

开着毒霸2012(默认设置),毒霸无任何反应。



释放的隐藏病毒文件在DiskGenius中可见:







另:此木马下载FlashPlayer插件并安装到%system%\macromed\flash目录下。将这些文件转存到U盘,退出 Acronis Try&Decide模式,然后对比正常与病毒下载安装的相关文件的MD5 ————完全相同。不知这是神马意思。




不知瑞星能认识此马否?附上样本:



附件: ober.zip (2012-3-13 16:45:54, 166.09 K)
该附件被下载次数 1519




用户系统信息:Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60
最后编辑baohe 最后编辑于 2012-03-13 16:45:54
分享到:
gototop
 

回复 5F 奇缘の随风 的帖子

Acronis Try 的保护还不错。除了TDSS类比较强悍的Mbr病毒外,其它病毒基本不能穿透其保护。
此外,Acronis True Image提供全备份(包括引导扇的1-63扇区)、抢先引导(开机按F11)以及抢先引导后的备份恢复等功能。若在安装后能充分使用这些功能,基本上可以无忧。即使出了问题,恢复系统也就是十几分钟的事情。
gototop
 

回复 8F 奇缘の随风 的帖子

不能运行Try的原因已经明说了:系统分区是动态分区

普通分区,无论是主分区,还是逻辑分区,只要不是隐藏分区,都可进入Try而受到保护。


最后编辑baohe 最后编辑于 2012-03-22 22:03:31
gototop
 

回复: Win8系统中能运行的ZeroAccess木马



引用:
原帖由 奇缘の随风 于 2012-3-22 22:26:00 发表
应用更改和放弃更改都要重启,这个有点烦!



应用更改不需要重启


gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT