广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2913 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x1
警告令:破坏硬盘MBR启动扇区后门程序
警告令:破坏硬盘MBR启动扇区后门程序

http://bbs.kaspersky.com.cn...14-1-1.html

  BitDefender近日发布一条紧急通告,检测到一款破坏硬盘MBR扇区的后门程序Backdoor.Yonsole,该后门程序会阻止系统启动。该后门程序最早抓获于6月19日,星期六。它与多个应用程序捆绑出现,伪装成“Microsoft® Windows重要更新 ”。初步分析显示,目前它存在两个病毒变种A和B,它们功能相同,只是破坏Windows服务的方式不同。BitDefender已经更新了自身的病毒特征码,并发布了免费的移除工具。

  Backdoor.Yonsole成功感染主机系统以后,会在系统中安装和注册一个后门服务,允许远程攻击者执行命令,并启动远程桌面会话。远程攻击者可以发布一系列命令,甚至包括修改硬盘上的主引导记录(MBR)区域,十分危险。

  BitDefender强烈建议疑似感染该病毒的用户运行移除工具。如果MBR尚未修改,移除工具将清理病毒并重启电脑。BitDefender于星期六当天更新了病毒特征码,阻止并侦测Backdoor.Yonsole及其变种,因而BitDefender用户鲜有感染该病毒。


爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾台湾硕网 | Posted:2010-06-30 23:05 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

l两个进程无法结束和删除,经测试是个感染MBR的病毒

是一个6M的安装程序,其实已经被黑客掉包

我运行后

2010-6-30 16:35:27   删除文件   允许
进程: c:\documents and settings\administrator\local settings\temp\loader.exe
目标: C:\Program Files\1487921.dat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2010-6-30 16:35:42   创建新进程   允许
进程: f:\downloads\replacesetup\replacesetup.exe
目标: c:\documents and settings\administrator\local settings\temp\smss.exe
命令行: Executable.exe 1
规则: [应用程序]* -> [子应用程序]*\temp*\*

2010-6-30 16:35:43   修改注册表值   允许
进程: c:\documents and settings\administrator\local settings\temp\loader.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
规则: [注册表组]IE浏览器设置阻止 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:35:48   删除文件   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: C:\Program Files\1508171.dat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2010-6-30 16:36:03   修改注册表值   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
规则: [注册表组]IE浏览器设置阻止 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:36:54   修改其他进程的内存   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2010-6-30 16:37:01   在其他进程中创建线程   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

不添加任何启动项或服务,
重启电脑后,系统中即出现症状:

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

XueTr 和IceSword均无法结束其进程。

使用Gmer 出品的那个mbr.exe 无法修复。
打开XueTr 即显示可疑mbr rootkit 是否要修复。

选择修复后重启系统分区表被破坏,提示找不到系统。

在PE环境下重建分区表解决问题


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾中华电信 | Posted:2010-07-01 11:13 |
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

那么请教一下,mbr.exe可以「检测」出MBR Rootkit的存在吗?
以及您所谓mbr.exe无法修复MBR,是怎么个无法修复法?可麻烦简单叙述一下您的操作流程吗?
一直没环境可以测试这些东西,对于检测、修复所准备的方案也是非常的有限…,还请upside大作经验分享啰。


献花 x0 回到顶端 [2 楼] From:台湾中华电信 | Posted:2010-07-01 16:45 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

mbr.exe 可以「检测」出MBR Rootkit
但不一定能修复 因为病毒体仍然存在
它会不断比对MBR是否与它一致

我使用XueTr修复 但导致MBR 损毁
只好使用 PE 重建分割表
其实使用 SPFDISK 也可以


爸爸 你一路好走
献花 x0 回到顶端 [3 楼] From:台湾台湾硕网 | Posted:2010-07-02 00:21 |
LostDream
个人头像
个人文章 个人相簿 个人日记 个人地图
小人物
级别: 小人物 该用户目前不上站
推文 x0 鲜花 x6
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

XueTr于之前看过的案例使MBR出状况,不过是因无白名单所造成问题,临床上还是避免用他来处理MBR啰。
如果mbr.exe可以检测出MBR Rootkit的存在,那么修复上应该也行得通;恶意程式处理过程并不针对单一部份,而是循序渐进的处理流程。感谢upside大经验分享,已经有个大概的头绪了。
其他就等碰到在想办法,虽然对岸闹的火热,目前看来台湾尚未见到「确认案例」,倒是该庆幸啰。


[ 此文章被LostDream在2010-07-02 03:43重新编辑 ]


献花 x0 回到顶端 [4 楼] From:台湾中华电信 | Posted:2010-07-02 01:56 |
ebolaman 手机 会员卡
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖

级别: 副版主 该用户目前不上站
版区: 程式设计
推文 x38 鲜花 x458
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

upside 你有亲自运行过?...
好恐怖的感觉,我也想要运行看看耶
不过连 IceSword 都关不掉,还真厉害
如果用 Comodo 来拦截,应该只会拦截到 Access Disk 的动作而已...以前我都不知道那也有可能去破坏 MBR ...


My BOINC stats :

献花 x0 回到顶端 [5 楼] From:台湾台湾宽频 | Posted:2010-07-02 09:36 |
minelin
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x0
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

各位好,小弟在六月电脑中了,正是这两只,路径名称都一样,没在启动程序里可是就是会在开机时启动,不过防毒检测出是Trojan-Clicker.win32.cycler,症状是IE会自动连上某广告网页,目前治标方法是进安全模式把 c:\System Volume Information整个移除再开机当次就没再出现,但再重开后又会生出来,一直找不到元凶....所以目前只能先用XueTr 修复MBR再重建啰?我再试试看...谢谢


[ 此文章被minelin在2010-07-04 15:01重新编辑 ]


献花 x0 回到顶端 [6 楼] From:台湾中华电信 | Posted:2010-07-04 13:33 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058005 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言