关于“货真价实BMW病毒样本”

显示全部楼层 · 发表于 2011-9-4 11:12:59

可以注册一个啊。

http://bbs.janmeng.com/?fromuid=296617

显示全部楼层 · 发表于 2011-9-4 11:24:02

有凤来仪发表于 2011-9-4 11:12
可以注册一个啊。

http://bbs.janmeng.com/?fromuid=296617

此乃推广

显示全部楼层 · 发表于 2011-9-4 11:35:59

zuo 发表于 2011-9-3 22:25
试试这个http://bbs.janmeng.com/attachment.php?aid=NDUyNTIyfDY1NjQ1YjNifDEzMTUwNTk4MTR8Yzk4OGdySnNK ...

看来这个b.exe才是写mbr和写bios的病毒，加载几个叫bios的驱动

显示全部楼层 · 发表于 2011-9-4 11:36:25

2011-9-4 11:33:25 创建文件允许
进程: d:\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys2
规则: [应用程序]*.exe -> [文件]c:\windows\system32\drivers\*

2011-9-4 11:33:26 修改文件允许
进程: d:\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys1
规则: [应用程序]*.exe -> [文件]c:\windows\system32\drivers\*

2011-9-4 11:33:26 创建文件阻止
进程: d:\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [应用程序]?* -> [文件组]f200_系统sys

2011-9-4 11:33:27 删除文件允许
进程: d:\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys
规则: [应用程序]*.exe -> [文件]c:\windows\system32\drivers\*

2011-9-4 11:33:29 创建文件允许
进程: d:\mbr-bios\b.exe
目标: C:\my.sys
规则: [文件组]f060_行为防御 -> [文件]c:\; *.sys

2011-9-4 11:33:29 底层磁盘读操作允许
进程: d:\mbr-bios\b.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*.exe

2011-9-4 11:33:33 底层磁盘写操作允许
进程: d:\mbr-bios\b.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*.exe

显示全部楼层 · 发表于 2011-9-4 11:37:29

有凤来仪发表于 2011-9-3 17:55
我想你测试一下，我很想知道。

把bios中主引导区防写的功能关闭，运行这个病毒后过两天，看看bios中主 ...

主引导区防写这个功能在32位NT核心的系统上完全无意义，这个功能只支持主IDE接口硬盘，而且只在DOS、WIN 9X实模式下有效，这个功能应该是调用BIOS磁盘中断实现的，如果直接IO磁盘端口保护就失效了。以前的BIOS防写是通过跳线设置的，现在在CMOS中设置，不知道开启这个功能以后能不能有效防止BIOS被感染

显示全部楼层 · 发表于 2011-9-4 13:14:44

billgates1996 发表于 2011-9-4 11:24
此乃推广

帮我积点分啊，麻烦了。

显示全部楼层 · 发表于 2011-9-4 13:19:29

nazisoft 发表于 2011-9-4 11:37
主引导区防写这个功能在32位NT核心的系统上完全无意义，这个功能只支持主IDE接口硬盘，而且只在DOS、WIN ...

也就是这个病毒做了个没有用的工作，想用bios保护mbr是失败的。

或者另一种很小的可能是病毒作者能把bios修改成真的能保护mbr。

显示全部楼层 · 发表于 2011-9-4 21:25:33

29L

ESET 清空

C:\Users\Gateway\Desktop\mbr-bios\123 - Win32/Wapomi.AO virus
C:\Users\Gateway\Desktop\mbr-bios\b - Win32/TrojanDropper.RootDrop.AB trojan

显示全部楼层 · 发表于 2011-9-5 06:33:42

本帖最后由 liulangzhecgr 于 2011-9-5 06:43 编辑

有凤来仪发表于 2011-9-4 11:36
2011-9-4 11:33:25 创建文件允许
进程: d:\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bi ...

你敢允许底层写入?!

我的BIOS类型:

感染MBR而没有感染BIOS:

------------------------------------------------------------------------------------------------
2011-9-4 19:24:50 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\mbr-bios\b.exe
命令行: "E:\downloads\mbr-bios\b.exe"
规则: [应用程序]*

2011-9-4 19:24:52 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp
规则: [文件]*

2011-9-4 19:24:59 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp
规则: [文件]*

2011-9-4 19:25:05 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:25:25 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:25:28 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys.bak
规则: [文件]*

2011-9-4 19:25:31 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys1
规则: [文件]*

2011-9-4 19:25:33 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys2
规则: [文件]*

2011-9-4 19:25:36 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:25:38 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys1
规则: [文件]*

2011-9-4 19:25:43 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:25:46 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:25:49 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:25:51 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys2
规则: [文件]*

2011-9-4 19:25:53 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:25:55 加载驱动程序允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\beep.sys
规则: [应用程序]c:\windows\system32\services.exe

2011-9-4 19:25:57 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:00 删除文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:26:02 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:04 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys.bak
规则: [文件]*

2011-9-4 19:26:07 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:09 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:26:11 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:13 删除文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2011-9-4 19:26:16 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:17 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp
规则: [文件]*

2011-9-4 19:26:22 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\drivers\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:24 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\my.sys
规则: [文件]?:\

2011-9-4 19:26:27 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:28 删除文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp
规则: [文件]*

2011-9-4 19:26:31 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:32 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp
规则: [文件]*

2011-9-4 19:26:34 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:36 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DFE0F5.tmp
规则: [文件]*

2011-9-4 19:26:38 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:40 创建文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\hook.rom
规则: [文件]*

2011-9-4 19:26:41 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:43 修改文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2011-9-4 19:26:45 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:53 底层磁盘读操作允许
进程: e:\downloads\mbr-bios\b.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-9-4 19:26:55 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:26:57 底层磁盘写操作允许
进程: e:\downloads\mbr-bios\b.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2011-9-4 19:26:59 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:27:00 删除文件允许
进程: e:\downloads\mbr-bios\b.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\hook.rom
规则: [文件]*

2011-9-4 19:27:01 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:27:02 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:27:03 修改文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys.new
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

2011-9-4 19:27:04 创建文件允许
进程: c:\windows\system32\winlogon.exe
目标: C:\WINDOWS\system32\dllcache\beep.sys
规则: [应用程序]c:\windows\system32\winlogon.exe -> [文件]*

-----------------------------------------------------------------------------------------------

显示全部楼层 · 发表于 2011-9-5 08:49:38

有凤来仪发表于 2011-9-4 13:14
帮我积点分啊，麻烦了。

给你个人气!

[其他相关] 关于“货真价实BMW病毒样本”

评分

本帖子中包含更多资源

浏览过的版块