又一个改写MBR的病毒（TDSS TDL4）

此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。
此毒的主要行为是改写MBR，并在硬盘尾部的190个扇区内写入病毒代码。
病毒的上述动作可穿透还原类软件对系统的保护。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本，Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为：运行病毒样本后，重启电脑，脱离Try&Decide模式，不能登录系统。
此后，用WIN7 PE U盘引导，在PE环境下，重建MBR，并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂！

此毒行为的另一特点是：它添加的注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerPendingFileRenameOperations键值用普通的注册表编辑工具不能发现。但用XueTr可以发现（此键值指向病毒在当前用户临时目录下释放的两个tmp程序）

附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块：

附件是病毒样本
样本名称2IC.rar 此毒为TDSS TDL4 的变种
此毒的主要行为是改写MBR，并在硬盘尾部的190个扇区内写入病毒代码。
上述病毒动作可穿透还原类软件。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本，Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为：重启电脑，脱离Try&Decide模式，不能登录系统。
此后，用WIN7 PE U盘引导，在PE环境下，重建MBR，并清除硬盘尾部190个扇区的病毒代码。再重启系统。搞掂！
附上此毒样本及其释放的病毒文件（无密码）；其中setup3541977020是此样本运行后释放的病毒主体