查看: 11016|回复: 38
收起左侧

[原创文章] 轻松检测魔影病毒(TDSS.TDL-4)By PowerTool

  [复制链接]
ithurricane
发表于 2011-7-18 09:01:43 | 显示全部楼层 |阅读模式
本帖最后由 ithurricane 于 2011-7-18 10:55 编辑

关于魔影(TDSS.TDL-4)的介绍,可以看以下两篇文章

http://bbs.kafan.cn/forum.php?mod=viewthread&tid=899525
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=1025119

就不过多重复了,为了保护自己的篡改的MBR,可谓是用尽可手段,

PowerTool可以在不恢复和修改TDL-4任何钩子的情况下,
直接穿透它的防护,检测到TDL-4 rootkit


首先,有两个地方,大家可能以前就知道了,
一个是工作列线程
5.png

一个是StartIO的钩子
6.png

这个以前版本的PowerTool就可以检测到
这次加强了内核模块的检测,可以看到TDL-4的隐藏驱动
8.png

TDL-4还劫持了ATAPI的设备
9.png


如果以上,大家还不能确认是否是真的中了TDL-4病毒的话
最后一个,可以彻底让它露出真面目,

在MBR里面点击强力检测按钮(目前不支持AHCI/RAID/SCSI模式)
可以完全穿透TDL-4的防护,检测到MBR
10.png


清除的话,建议大家可以用卡巴或者BitDefender的专杀工具
也可以到PE系统里面,修复MBR来清除

以后PT会进一步加强清除的工作,呵呵

评分

参与人数 5人气 +5 收起 理由
minimini + 1 看不见图加个分把
leisong + 1 不错
FreeEquFraT + 1 一定要加分的
jiao轩 + 1 支持
hx1997 + 1 版区有你更精彩: )

查看全部评分

网络安全
发表于 2011-7-18 09:07:49 | 显示全部楼层
支持来了。
xzhlksh
发表于 2011-7-18 09:49:51 | 显示全部楼层
唯有支持大大
x-da
头像被屏蔽
发表于 2011-7-18 10:24:58 | 显示全部楼层
前排啊~~

我去找个样本试试
ybb
发表于 2011-7-18 10:46:55 | 显示全部楼层
谢谢分享,下来检测偶的电脑一下,也求个心理安慰。
bluewing009
发表于 2011-7-18 10:56:13 | 显示全部楼层
表示支持~

加油~
FreeEquFraT
发表于 2011-7-18 12:37:22 | 显示全部楼层
本帖最后由 FreeEquFraT 于 2011-7-18 14:14 编辑

恩,越来越强大了
-------------------------------------------------------------
刚刚发现楼主帖子里所有路径那里/都变成了那个那个代表钱的符号了(我不会打这个符号
liulangzhecgr
发表于 2011-7-18 14:34:19 | 显示全部楼层
支持。。。 !
lwy4652
发表于 2011-7-18 14:48:08 | 显示全部楼层
pt 可以直接修复不 ?
zhouyangbozyb
发表于 2011-7-18 14:48:33 | 显示全部楼层
前来支持
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:28 , Processed in 0.150004 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表