使用XueTr杀鬼影3病毒

显示全部楼层 · 发表于 2011-6-6 17:02:19

本帖最后由 virusdefender 于 2011-6-6 17:04 编辑

本贴核心：鬼影并不怕，关键还是在MBR.恢复MBR后，病毒自然消失。
我们先来看看某杀软网站的介绍：

.........该病毒采用非常顽固的方式强驻受害电脑，常规杀毒技术无法清理，甚至病毒作者似乎也认为“鬼影3”根本不可能被杀掉，并没有像前两代“鬼影”一样破坏杀毒软件。........

我并不知道是什么原因，也许我的样本和他们的不一样，但我认为驱动名deep.sys都是一样的，说明很有可能就是一个病毒。
测试环境： VMWARE XUETR
样本下载： http://bbs.kafan.cn/forum.php?mo ... =1000628&extra=

首先看一下病毒，没有加壳。visual c++ 文件

没有加壳.PNG

双击病毒运行，这是监控的病毒行为，可能不全，仅供参考。
监控.PNG

然后重启虚拟机，检测进程等一系列的工作，看图片。
驱动.PNG

部分行为如内核钩子没有检测到，要么加载驱动有什么用呢，我认为应该会有的。
还有一些行为，如生成桌面图标，修改主页等我就不截图了。使用XT修改删除即可。
这样病毒的基本情况我们就知道了。MBR的问题一会再讨论。
使用XT手杀
我们先用360专杀工具检测一下

然后恢复MBR,重启，使用**急救箱收拾残骸......(嘿嘿。这么重要的步骤写得这么简单）
再用360专杀检测，已经没有了，杀毒完成。
附MBR的16进制分析
这是原MBR
原mbr.PNG

这是修改后的

显示全部楼层 · 发表于 2011-6-6 17:18:40

本帖最后由 webweb 于 2011-6-6 17:23 编辑

我的浏览器出问题了？不是用xuetr杀鬼影3么？怎么成了360了？
另外鬼影3有什么新技术说一下啊，如果还是之前的老套路MBR重置就死绝的话，作者何来那么强的自信认为无法查杀呢？
xuetr在查看驱动模块的时候显示文件不存在，显然是使用强力驱动技术，无法删除的，该如何操作？

显示全部楼层 · 发表于 2011-6-6 17:32:11

看样子是没写完？

显示全部楼层 · 发表于 2011-6-6 18:09:18

本帖最后由 virusdefender 于 2011-6-6 18:09 编辑

webweb 发表于 2011-6-6 17:18
我的浏览器出问题了？不是用xuetr杀鬼影3么？怎么成了360了？
另外鬼影3有什么新技术说一下啊，如果还是之 ...

新手，发帖有的没说明白。
使用360是检测一下的确已经感染，没有其他处理
检测行为以及处理都是用xuetr,恢复mbr后驱动钩子及进程都消失了，只有残骸了。
我也没看明白这病毒高明在哪了。
这是360的介绍 http://bbs.360.cn/4071464/250054269.html?recommend=1

显示全部楼层 · 发表于 2011-6-6 19:20:58

貌似没有手杀过程吧

显示全部楼层 · 发表于 2011-6-6 19:34:30

感觉不像鬼影3呢

显示全部楼层 · 发表于 2011-6-6 19:38:31

用硬盘保护卡克星就能解决，这病毒放在去年还有点新意，现在拿去攻击菜鸟都没意思

显示全部楼层 · 发表于 2011-6-6 19:42:34

我以前测试的，mbr 被修改后还原开无法启动。

显示全部楼层 · 发表于 2011-6-6 20:21:14

步骤太简略

显示全部楼层 · 发表于 2011-6-6 23:45:56

virusdefender 发表于 2011-6-6 18:09
新手，发帖有的没说明白。
使用360是检测一下的确已经感染，没有其他处理
检测行为以及处理都是用xue ...

高明在加了驱动，阻止安全软件修改MBR

应该是可以阻止已知安全软件常用的几张写mbr方式把

[经验分享] 使用XueTr杀鬼影3病毒