货真价实BMW病毒样本（不是老的CIH）9月4日更新<增加实际修改mbr和BIOS的部分>

y2m3

jefffire 发表于 2011-9-4 11:48
病毒不完善，常常自己出问题不能发作而已。

我连续实机裸奔关闭UAC测试三次依旧无任何感染迹象。

然后再次通过禁用驱动签名运行也依旧没事

vfloppy

y2m3 发表于 2011-9-4 12:08
我连续实机裸奔关闭UAC测试三次依旧无任何感染迹象。

然后再次通过禁用驱动签名运行也依旧没事

64位系统就别试了，这个样本可能没有针对64位系统。

y2m3

vfloppy 发表于 2011-9-4 12:17
64位系统就别试了，这个样本可能没有针对64位系统。

真郁闷。。。。


过两天回家拿xp sp3试试，真想看个究竟。。。只可惜手底下只有个本。。

jefffire

y2m3 发表于 2011-9-4 12:22
真郁闷。。。。

64位，那果断不用看了。最新的TDL4可能能奏效，其他驱动型病毒基本都废

y2m3

jefffire 发表于 2011-9-4 12:27
64位，那果断不用看了。最新的TDL4可能能奏效，其他驱动型病毒基本都废

看来驱动签名和patchguard短期内还是让x64驱动级病毒成了非主流。。。。

虽然很鄙视M$这两项纯粹为了赚钱和整杀软市场而做的技术吧。。。。

zhen2zhen

病毒: Win32:Qmgr-C [Trj] (引擎B)
文件: 123
目录: C:\Users\frankstein\Desktop
进程: 7zFM.exe


GDATA 的小A KILL

zuo

y2m3 发表于 2011-9-4 12:34
看来驱动签名和patchguard短期内还是让x64驱动级病毒成了非主流。。。。

虽然很鄙视M$这两项纯粹为了赚 ...

也不完全是为了这些吧

wowocock

只要64位下能刷BIOS，就可以实现。BIOS，mbr 部分，对于64位来说没影响，但 感染部分没有对64位专门处理，所以即使中了，可能系统也挂了。其实病毒扩展下，不修改系统文件，而是修改各种杀软的驱动，用他们作为跳板的话，嘿嘿。

有凤来仪

wowocock 发表于 2011-9-4 14:20
只要64位下能刷BIOS，就可以实现。BIOS，mbr 部分，对于64位来说没影响，但 感染部分没有对64位专门处理，所 ...

修改了，就没有了签名，就加载不了。

y2m3

zuo 发表于 2011-9-4 13:56
也不完全是为了这些吧

这得问M$了。。。谁知道它到底打着什么算盘。。。