关于“货真价实BMW病毒样本”

显示全部楼层 · 发表于 2011-9-3 17:12:30

本帖最后由 baohelin 于 2011-9-3 17:17 编辑

本机BIOS 类型为AMI
操作系统为 WINDOWS7 旗舰版

1、关闭MSE监控运行病毒样本123.exe（若不关闭MSE监控病毒会被立即宰杀）：

2、运行病毒后，打开XueTr。查看MBR：

3、病毒唯一的写注册表的动作也没完成：

4、运行360的专杀：

显示全部楼层 · 发表于 2011-9-3 17:15:30

楼主发错地方了吧？

显示全部楼层 · 发表于 2011-9-3 17:16:12

UAC限制了？

显示全部楼层 · 发表于 2011-9-3 17:17:54

一晴空发表于 2011-9-3 17:16
UAC限制了？

没有限制

显示全部楼层 · 发表于 2011-9-3 17:20:18

baohelin 发表于 2011-9-3 17:17
没有限制

那就奇怪了

显示全部楼层 · 发表于 2011-9-3 17:29:08

一晴空发表于 2011-9-3 17:20
那就奇怪了

没啥可奇怪的。
某杀软商炒作而已
你google一下就知道。到处都是这个病毒的新闻。

显示全部楼层 · 发表于 2011-9-3 17:35:36

AMI主板？

显示全部楼层 · 发表于 2011-9-3 17:38:46

本帖最后由 hddu 于 2011-9-3 17:40 编辑

新鬼影病毒可以改写特定型号主板BIOS，这很容易让人联想到Windows 95时代流行的CIH病毒，当时有杀毒厂商称CIH病毒可以破坏硬件。中毒后的电脑将完全黑屏，不能启动。

　　新鬼影病毒的目的和CIH完全不同，CIH是以破坏系统为主，而新鬼影则是以赚钱为主，不会破坏系统，中毒电脑不会出现黑屏和分区受损。其主要目的是为导航站带流量，再下载更多木马或木马下载器，推广其他病毒或软件。

　　新鬼影病毒先判定当前系统主板BIOS是否为Award BIOS，然后再查找SMI端口，写入新的BIOS内容，其目的是保护硬盘MBR(主引导记录)被其他程序改写。这样就造成杀毒软件或一些磁盘编辑工具无法查看或编辑主板MBR信息，从而使病毒难以清除。

http://news.baidu.com/n?cmd=2&am ... t&where=toppage

显示全部楼层 · 发表于 2011-9-3 17:42:52

本帖最后由 baohelin 于 2011-9-3 17:43 编辑

hddu 发表于 2011-9-3 17:38
新鬼影病毒可以改写特定型号主板BIOS，这很容易让人联想到Windows 95时代流行的CIH病毒，当时有杀毒厂商称C ...

按照病毒样本提供者的说法，在非award主板的电脑，此毒至少应该改写MBR吧。

显示全部楼层 · 发表于 2011-9-3 17:46:35

award主板实机测试..啥事没有..

[其他相关] 关于“货真价实BMW病毒样本”

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

浏览过的版块