笨，实机运行了修改MBR和BIOS的病毒，真是笨贼一个。

liulangzhecgr

郑伟用户 发表于 2011-9-7 16:44
阿达有个样本，by也原形了，估计是就是你说这个情况。那天我们在群里也看这个了【我只是看没有发言权利的 ...

是否感染BIOS,那需要两三天的时间,这期间若备份的BIOS文件若不变的话,可以判断为此样本修改BIOS !

谦和

780517 发表于 2011-9-7 14:28
也许有第三方在修改你的MBR，才会导致进不去系统。
bmw这个毒本身也没改过主页.是测试阶段.还有很多地 ...

bmw本身没有改主页，但是bmw弄下来的下载者，运行后改首页刷广告的行为是有的

sanhu35

liulangzhecgr 发表于 2011-9-7 14:06
这里也显示类型:

我机器是 AWD但 这个万能备份工具  显示的是其他BIOS
真囧

liulangzhecgr

谦和 发表于 2011-9-7 17:14
bmw本身没有改主页，但是bmw弄下来的下载者，运行后改首页刷广告的行为是有的

我估计是123.exe是个下载者(?!)更准确地说修改系统文件的东东(感染性?!)!,不过我运行的时候连b.exe的影子也没有看到!lz运行的是被by抓到的b.exe样本!

----------------------------------------------------------------------------------------------------------------------------------------------
123是不是download ?!

------------------------------------------------------------------
2011-9-5 08:13:07    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\bmw\123.exe
命令行: "E:\downloads\bmw\123.exe"
规则: [应用程序]*

2011-9-5 08:13:14    创建文件    允许
进程: e:\downloads\bmw\123.exe
目标: C:\Documents and Settings\Infotmp.txt
规则: [文件]*

2011-9-5 08:13:20    创建文件    允许
进程: e:\downloads\bmw\123.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\7D643720.log
规则: [文件]*

2011-9-5 08:13:23    创建文件    允许
进程: e:\downloads\bmw\123.exe
目标: C:\WINDOWS\system32\7D6404E4.tmp
规则: [文件]*

2011-9-5 08:13:25    向其他进程发送消息    允许
进程: e:\downloads\bmw\123.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]*

2011-9-5 08:13:28    向其他进程发送消息    允许
进程: e:\downloads\bmw\123.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]*

2011-9-5 08:13:34    创建文件    允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\3E403334.sys
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:13:44    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:13:49    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:13:53    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\MsPMSNSv.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:13:57    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:00    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:03    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:05    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:07    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\qmgr.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:09    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\MsPMSNSv.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:10    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\xmlprov.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:13    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\ntmssvc.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:15    修改文件    阻止
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\upnphost.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:32    创建文件    允许
进程: c:\windows\explorer.exe
目标: C:\WINDOWS\system32\pchsvc.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-9-5 08:14:41    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-9-5 08:14:43    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ias
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-9-5 08:14:45    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Iprip
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-9-5 08:14:47    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Irmon
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-9-5 08:14:50    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWCWorkstation
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-9-5 08:14:51    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Nwsapagent
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

2011-9-5 08:14:53    创建注册表项    阻止
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmdmPmSp
规则: [应用程序]c:\windows\system32\services.exe -> [注册表]*

liulangzhecgr

sanhu35 发表于 2011-9-7 17:21
我机器是 AWD但 这个万能备份工具  显示的是其他BIOS
真囧

有这种情况发生?!

不过,它读取的备份文件相当准确啊!

yjwfdc

hddu 发表于 2011-9-7 10:23
老式机，装不了虚拟机，惭愧。
乃不是实机测试？！怪不得运行修改MBR的病毒不用修复
可以顺利进入系统 ...

如果病毒写得好,修改mbr是一定可以正常进入系统的.如果进入不了系统,那个病毒就是失败的.

yjwfdc

780517 发表于 2011-9-7 10:52
你们拿到的样本不全 AMI的也是可以写入的 不仅仅是AWARD.这个毒10年3月就出炉了，一直没用，其实感染的不足 ...

是不是用以前把还原卡的bios写入主板bios来还原的原理一样,很多品牌机也用这方法做还原.

lsldream

牛B

yjwfdc

可以先修复mbr,然后再启动进系统,重启看mbr有没有被修改,如果又被修改,说明bios中毒了.

到你的主板网站下载个bios文件和刷写工具,重刷一下bios,

如果刷写失败,无法开机,就到电脑城叫人家刷,通常20元刷一次.

久远寺有珠

LZ勇气可嘉