楼主: post8
收起左侧

[病毒样本] MBR ransom 双击党来玩玩

  [复制链接]
sanhu35
发表于 2012-5-23 11:53:26 | 显示全部楼层
liulangzhecgr 发表于 2012-5-23 11:49
对啊! 我一般重建分区表之后,再重写mbr 已经习惯(不管什么类型引导区病毒)啦!难道和上一次的4.exe m ...

这个毒出来有几个月了,之前貌似没有 rootkit行为
星野初
发表于 2012-5-23 11:58:44 | 显示全部楼层
sanhu35 发表于 2012-5-23 11:19
在PE下用diskgen 修复MBR 如果还是看不到分区就重建分区表。
然后清除病毒残留物和启动项服务等!     ...

硬盘分区找到了
pe系统下c盘还是进不去 一双击要求格式化
liulangzhecgr
发表于 2012-5-23 12:01:28 | 显示全部楼层
sanhu35 发表于 2012-5-23 11:53
这个毒出来有几个月了,之前貌似没有 rootkit行为

这之前在卡饭有人贴过lock mbr 的帖子,里头的程序名为4.exe 啊!
我查看一下是否相同的文件。。。
liulangzhecgr
发表于 2012-5-23 12:03:38 | 显示全部楼层
sanhu35 发表于 2012-5-23 11:53
这个毒出来有几个月了,之前貌似没有 rootkit行为

http://bbs.kafan.cn/thread-1290986-1-1.html
crystalsong08
发表于 2012-5-23 12:04:16 | 显示全部楼层
FSCS 深度防御拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liulangzhecgr
发表于 2012-5-23 12:09:07 | 显示全部楼层
sanhu35 发表于 2012-5-23 11:53
这个毒出来有几个月了,之前貌似没有 rootkit行为

不是同一个货。。。这下有玩的啦!
文件: E:\downloads\管理员\42\4.exe
大小: 5632 字节
修改时间: 2012年5月23日, 8:33:08
MD5: C3712262BDA9A400F2A8FCD62D49D57C
SHA1: 8F2230295DECD8E3B8700B89E7D878D06BE1840B
CRC32: 2E364ECE

文件: E:\downloads\管理员\mbrlock-Antivirus HardDiskRepair v2.2\4.exe
大小: 7168 字节
修改时间: 2012年5月18日, 20:31:40
MD5: D3BB67993B2DFFFEBD818D356FEC7637
SHA1: 6458AC1743972A04D8DAE5E1201201BF325EFEDB
CRC32: B13B31DD

sanhu35
发表于 2012-5-23 12:10:12 | 显示全部楼层
星野初 发表于 2012-5-23 11:58
硬盘分区找到了
pe系统下c盘还是进不去 一双击要求格式化

http://bbs.kafan.cn/thread-1290986-1-1.html  试试这里的解锁程序  解锁C盘
liulangzhecgr
发表于 2012-5-23 12:14:34 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2012-5-23 12:16 编辑
星野初 发表于 2012-5-23 11:58
硬盘分区找到了
pe系统下c盘还是进不去 一双击要求格式化


你要进c盘干什么?! 上边不是有个菜单吗?!找出重建分区表和重写mbr 菜单点击之后,重启系统不就解决啦。。。
liulangzhecgr
发表于 2012-5-23 12:18:01 | 显示全部楼层
sanhu35 发表于 2012-5-23 12:10
http://bbs.kafan.cn/thread-1290986-1-1.html  试试这里的解锁程序  解锁C盘


两个程序的md跟踪日志一模一样...要马上重启系统看看!

=======================================

2012-5-23 12:07:34    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\管理员\42\4-new.exe
命令行: "E:\downloads\管理员\42\4-new.exe"
规则: [应用程序]*

2012-5-23 12:07:39    底层磁盘读操作    允许
进程: e:\downloads\管理员\42\4-new.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

2012-5-23 12:07:43    底层磁盘写操作    允许
进程: e:\downloads\管理员\42\4-new.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]*

hddu
发表于 2012-5-23 12:18:04 | 显示全部楼层
本帖最后由 hddu 于 2012-5-23 12:22 编辑

运行后XP系统零扇区前后没有改变,可能是不欢迎病毒。




俺灰溜溜的来,灰溜溜的走。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 16:42 , Processed in 0.101235 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表