MBR locker - bootkitlocker2

显示全部楼层 · 发表于 2012-2-24 17:56:09

本帖最后由 360Tencent 于 2012-2-24 18:04 编辑

https://www.virustotal.com/file/ ... nalysis/1330076729/

据说重写MBR和分区表（防止用LiveCD 恢复MBR）

参考(法语站点)

http://www.malekal.com/2012/02/2 ... ut-pas-etre-allume/

Votre ordinateur ne peut pas être allumé. Vous travaillez dans le domaine BIOS de l’antivirus BIOS Antivirus Protection. Votre ordinateur est infecte par le virus Bootkitlock.gen32. Au cours de 5 heures votre HDD (disque dur) sera formate, toutes les données seront perdues sans aucune chances d’être rétablies. C’est une nouvelle génération de virus. Il est impossible de les prévenir, on peut seulement les enlever e l’aide de certains antivirus. Si vous ne voulez pas perdre toutes les données, vous, vous avez besoin d’acheter la version complete de l’antivirus BIOS Antivirus Protection. Vous ne pourrez pas faire marcher Windows avant que vous ne l’enleviez pas le virus

您的电脑无法打开。你在BIOS BIOS防病毒防病毒保护工作。您的计算机被感染病毒Bootkitlock.gen32。在5个小时，将被格式化您的硬盘驱动器（硬盘），所有数据都将丢失，没有任何正在恢复的机会。这是一个病毒的新一代。这是不可能的，以防止，我们只能使用一些防病毒移除E。如果你不想失去所有的数据，你需要购买完整版本的BIOS防病毒防病毒保护。你不能运行Windows，直到你不enleviez的病毒

显示全部楼层 · 发表于 2012-2-24 17:59:08

本帖最后由瓜皮猫于 2012-2-24 17:59 编辑

2012/2/24 17:58:55 HTTP 过滤器文件 http://bbs.kafan.cn/forum.php?mo ... DQ4OTI2NXwxMjMwMDE5 Win32/MBRlock.G 特洛伊木马连接中断 - 已隔离微亿毫-PC\微亿毫通过应用程序访问 web 时检测到威胁: C:\Users\微亿毫\Desktop\iexplore.exe.

显示全部楼层 · 发表于 2012-2-24 18:00:41

红伞没报
上报去

显示全部楼层 · 发表于 2012-2-24 18:04:32

那下面的中文是谁翻译的

显示全部楼层 · 发表于 2012-2-24 18:05:59

Howl 发表于 2012-2-24 18:04
那下面的中文是谁翻译的

谷歌翻的，我虽然会点法语但是很久没用了，知道大概的意思就行了

显示全部楼层 · 发表于 2012-2-24 18:08:01

金山云鉴定为安全

显示全部楼层 · 发表于 2012-2-24 18:08:02

360Tencent 发表于 2012-2-24 18:05
谷歌翻的，我虽然会点法语但是很久没用了，知道大概的意思就行了

好吧，法国的被墙了上不去，这样本有什么行为？

显示全部楼层 · 发表于 2012-2-24 18:09:15

Howl 发表于 2012-2-24 18:08
好吧，法国的被墙了上不去，这样本有什么行为？

据说重写MBR，顺带写一下分区表

显示全部楼层 · 发表于 2012-2-24 18:09:52

本帖最后由 liulangzhecgr 于 2012-2-24 18:27 编辑

越来越恐怖啦...

----------------------------------------------------------------------------
2012-2-24 18:11:20 创建新进程允许
进程: c:\windows\explorer.exe
目标: k:\download\xx\xx.exe
命令行: "K:\download\xx\xx.exe"
规则: [应用程序]*

2012-2-24 18:11:29 修改注册表值允许
进程: k:\download\xx\xx.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations
值: \??\K:\download\xx\xx.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager; PendingFileRenameOperations

2012-2-24 18:11:34 修改文件允许
进程: k:\download\xx\xx.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2012-2-24 18:11:49 注销、关机或重新启动系统阻止
进程: k:\download\xx\xx.exe
规则: [应用程序]*

显示全部楼层 · 发表于 2012-2-24 18:10:14

360Tencent 发表于 2012-2-24 18:09
据说重写MBR，顺带写一下分区表

要用到CMD不？

[病毒样本] MBR locker - bootkitlocker2

本帖子中包含更多资源