又一个改写MBR的病毒(TDSS TDL4)

 

此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。
此毒的主要行为是改写MBR,并在硬盘尾部的190个扇区内写入病毒代码。
病毒的上述动作可穿透还原类软件对系统的保护。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本,Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为:运行病毒样本后,重启电脑,脱离Try&Decide模式,不能登录系统。
此后,用WIN7 PE U盘引导,在PE环境下,重建MBR,并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂!

此毒行为的另一特点是:它添加的注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerPendingFileRenameOperations键值用普通的注册表编辑工具不能发现。但用XueTr可以发现(此键值指向病毒在当前用户临时目录下释放的两个tmp程序)

附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块:

















附件是病毒样本
样本名称2IC.rar 此毒为TDSS TDL4 的变种
此毒的主要行为是改写MBR,并在硬盘尾部的190个扇区内写入病毒代码。
上述病毒动作可穿透还原类软件。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本,Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为:重启电脑,脱离Try&Decide模式,不能登录系统。
此后,用WIN7 PE U盘引导,在PE环境下,重建MBR,并清除硬盘尾部190个扇区的病毒代码。再重启系统。搞掂!
附上此毒样本及其释放的病毒文件(无密码);其中setup3541977020是此样本运行后释放的病毒主体

本部分内容设定了隐藏,需要回复后才能看到
posted @ 2018-08-28 17:39  飞雪飘鸿  阅读(2189)  评论(4编辑  收藏  举报
https://damo.alibaba.com/ https://tianchi.aliyun.com/course?spm=5176.21206777.J_3941670930.5.87dc17c9BZNvLL