mbr bootkit前62个扇区

显示全部楼层 · 发表于 2020-9-4 10:28:41

样本：https://www.lanzoux.com/ikW0lgc67ne

从中毒电脑win7 x86系统提取的前62个扇区数据，别的系统如64位的可能不适用。

双击使用方法是，用bootice导出0扇区备份，导入样本到前62个扇区，再导入备份的0扇区到扇区1，重启就能触发病毒。

应该是常见的病毒，不知道叫什么。。。

显示全部楼层 · 发表于 2020-9-4 10:58:41

卡巴斯基：

显示全部楼层 · 发表于 2020-9-4 11:52:18

暗云bootkit，从卡巴报毒名来看

显示全部楼层 · 发表于 2020-9-4 13:18:22

tdsskiller 发表于 2020-9-4 11:52
暗云bootkit，从卡巴报毒名来看

这货应该是国人写的。我打开包含360、火绒、腾讯关键词的txt或目录，就自动关闭了。
然后用原名的tdsskiller，能直接打开并干掉。

显示全部楼层 · 发表于 2020-9-4 14:06:48

落华无痕发表于 2020-9-4 13:18
这货应该是国人写的。我打开包含360、火绒、腾讯关键词的txt或目录，就自动关闭了。
然后用原名的tdsski ...

暗云的一个版本，记得是配合挖矿的某个版本，好几年了。用急救箱强力模式查杀即可。

显示全部楼层 · 发表于 2020-9-4 14:09:42

落华无痕发表于 2020-9-4 13:18
这货应该是国人写的。我打开包含360、火绒、腾讯关键词的txt或目录，就自动关闭了。
然后用原名的tdsski ...

http://www.360.cn/n/10312.html

显示全部楼层 · 发表于 2020-9-4 14:26:28

Bitdefender 无法完成下载
The file C:\Users\ljsjo\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00185b has been detected as infected with Rootkit.MBR.DarkGalaxy.A (Boot image). Bitdefender deleted this item, your device is safe.

显示全部楼层 · 发表于 2020-9-4 14:36:11

本帖最后由落华无痕于 2020-9-4 15:55 编辑

wowocock 发表于 2020-9-4 14:09
http://www.360.cn/n/10312.html

360急救箱刚打开没自保？被病毒的conhou.exe连续结束进程。。。

懂的人会结束掉病毒进程后运行，不懂的人会觉得急救箱干不过病毒。

刚试了下，急救箱强力模式扫描过程中打开病毒进程，一样能关掉360急救箱的进程。

显示全部楼层 · 发表于 2020-9-4 16:07:24

落华无痕发表于 2020-9-4 14:36
360急救箱刚打开没自保？被病毒的conhou.exe连续结束进程。。。

懂的人会结束掉病毒进程后运行，不懂 ...

改个名字运行即可。急救箱名字随便改。

显示全部楼层 · 发表于 2020-9-4 16:43:20

本帖最后由落华无痕于 2020-9-4 17:17 编辑

wowocock 发表于 2020-9-4 16:07
改个名字运行即可。急救箱名字随便改。

并不是名字问题。如果我不改名字，不仅目录打不开，而且打开急救箱进程后，整个急救文件夹的文件都会被病毒删掉。
是窗口显示出来不到一秒就被关掉的那种。
补充个操作录像：
https://www.lanzoux.com/iTmr0gckcfa

PS:
很确定是按窗口标题识别并结束进程。我关掉病毒进程，改了360急救箱的窗口标题后，再运行病毒进程时急救箱没有被关。
同样的，本来不会被关闭的tdsskiller，我改了它标题为360急救箱，立即被关。。。

[病毒样本] mbr bootkit前62个扇区

本帖子中包含更多资源

评分

本帖子中包含更多资源