MBR病毒——趋势科技的检测做法

我要如何知道自己的MBR是否被感染/修改?

您可以使用趋势科技的RootkitBuster v5.0 检查自己的MBR是否被修改
下载地址:  RootkitBuster
请参照下列步骤使用该工具:
1)运行RootkitBuster.exe文件
注意: 
运行后工具后会自动在您需要扫描的计算机中安装一个新的TMCOMM.SYS组件.并会提示您重启计算机来完成安装.重启完成后,再次执行工具。
2)在左上方,选择您希望扫描的隐藏项类型,我们建议选择所有类型。
3)单击“scan now”按钮。
4) 扫描结束后,一个包含被发现的隐藏项的日志会在TMRBLog文件夹下生成
注意:
如果一个感染的MBR被检测,被感染与未被感染的MBR模块都被记录在TMRBLog文件夹中。
5)一旦TDL4/TDL3或类似的恶意文件被检测出,您可以选择清理被感染的系统。必须重新启动电脑来完成这个清理的动作。
6)将TMRBLog文件夹中的rootkit buster日志(TMRB00001.TXT)发送给趋势科技技术支持部门进行分析。
另一个能检测MBR被修改的工具(Trend Micro Rescue Disk)即将发布.除了检测病毒之外,这个工具可以恢复以前的备份的MBR及清除TDL与Popureb病毒的感染感染。
二.MBR(主引导扇区)被感染对电脑有什么影响?
当前 MBR 病毒一个共同的趋势就是利用主引导区记录以在windows 基本服务启动之前加载病毒组件。这使得恶意软件能够控制随后加载和执行的windows组件-这也使病毒可以:
1)使恶意软件在windows服务与平常的防病毒技术前隐藏
2)并且禁用操作系统的安全策略允许执行更多的恶意文件
实际上,用户与系统看不到感染的病毒文件,尽管其病毒现象可能已经很明显。这会使工程师在被感染计算机上获取病毒相关信息非常困难。
三.当发现我的MBR被修改时我应该做什么?
a.备份系统
我们建议您预先备份您系统中的关键数据
b.提交日志与可疑样本给 趋势科技技术支持部门
使用下列工具来收集提交日志与可疑样本文件给趋势科技技术支持部门
来分析:
•Rootkit Buster
 Rootkit Buster 
Rootkit Buster 是趋势科技针对Rootkit恶意文件的单机工具。RootkitBuster现在可以解决TDL3/TDL4病毒问题,清除被感染的MBR。支持对隐藏文件,注册表,进程,驱动和系统服务的消息钩子的检查。还能够在TMRBLog文件夹下创建相关日志记录
·SIC 工具(支持TDL/POPUREB)
 SIC 
是趋势科技提供的一款可以自动生成系统引导扇区转储日志来分析的工具。相关内容可以在工具提供的日志中“Disk drive(s) Boot Record”找到。
·ATTK(支持TDL/POPUREB)
 ATTK Complete Collector
是另一款可以生成引导扇区转储日志的工具。
相关日志可以在输出文件夹中找到“irobot\Log\DiskSectorDump.log”。
c.使用趋势提供的工具修复系统
可以联系趋势科技技术支持部门获取工具,来修复您系统中被感染的部分。
d.使用Windows Recovery修复系统
如果没有提供工具,这里有一些建议操作步骤来修复被感染的MBR
1)对于Windows 2000 和 XP系统:
在故障恢复控制台(recovery console)运行“fixmbr”:
Windows XP 故障恢复控制台使用方法: 
 http://support.microsoft.com/kb/314058 
Windows 2000 故障恢复控制台使用方法: 
 http://support.microsoft.com/kb/229716
2)对于Windows Vista 和 Windows 7系统:
在故障恢复控制台运行“bootrec /fixmbr”:
使用 Bootrec.exe 工具恢复被修改的MBR:
 http://support.microsoft.com/kb/927392
Windows Recovery使用注意事项:
1.请在对MBR进行修复之前备份系统中重要的文件,以避免修复过程中可能出现的问题而造成文件的丢失。
2.恢复控制台/恢复环境,需要从安装光盘执行(独立的计算机驱动器),因为从本地驱动器启动,将执行被感染的MBR和防止恢复执行。
3.该解决方案只适用于Windows/Microsoft。如果有其他的配置,例如多引导分区(linux和Microsoft在同一台计算机上,或由第三方分区管理软件管理的系统),上述的方案不保证可以执行,因此需要在执行前备份系统中的文件备份。
四.什么恶意程序会与MBR感染捆绑在一起?趋势是否也支持清除这些恶意程序?
以下是TrendLabs已经遇到的相关病毒及变种:
 TROJ_TDSS.KAX 
 BKDR_TIDSERV.DZ
 BKDR_TDSS.KARU 
 BKDR_TDSS.ASH
 TROJ_POPUREB.SMA
以上这些病毒问题都可以通过rootkitbuster 解决。同样也可以使用即将发布的Trend Micro Rescue Disk来解决
-----------------------------------
©著作权归作者所有:来自51CTO博客作者挥墨的书童的原创作品,请联系作者获取转载授权,否则将追究法律责任
主引导区MBR病毒解决方案
https://blog.51cto.com/shutong/826903

posted @ 2022-02-18 11:41  bonelee  阅读(520)  评论(0编辑  收藏  举报