高质量，Ring3下感染MBR

显示全部楼层 · 发表于 2011-4-1 12:05:17

本帖最后由 nazisoft 于 2011-4-1 12:16 编辑

鬼影初代及其多个变种是需要加载驱动的，废除了驱动就无法感染；而这个样本是低层操作磁盘实现感染，整个过程不需要加载驱动，凡是基于磁盘过滤且对MBR没有保护的影子系统都会被穿透，HIPS、辛巴影子系统完全可以防御
http://virscan.org/report/f04da56a38219578ed3ba3729d159a7e.html

显示全部楼层 · 发表于 2011-4-1 12:10:41

。。。。ring3下改mbr

显示全部楼层 · 发表于 2011-4-1 12:13:53

http://www.virustotal.com/file-s ... 85ede9e1-1301631012

显示全部楼层 · 发表于 2011-4-1 12:23:19

大蜘蛛clean，已上报

显示全部楼层 · 发表于 2011-4-1 12:23:49

kis kill

显示全部楼层 · 发表于 2011-4-1 12:30:54

我记得tdss类型的病毒就不是加驱的，好像是直接磁盘操作来感染MBR和写病毒到磁盘末端的，新的鬼影2可能也是借鉴了这样的方法了，我回去看下MD的日志看看是不是这样。

显示全部楼层 · 发表于 2011-4-1 12:31:44

360 kill

显示全部楼层 · 发表于 2011-4-1 12:36:20

回复 6楼 FreeEquFraT 的帖子

就是这样的，底层读写磁盘，而且不需要管理员权限

显示全部楼层 · 发表于 2011-4-1 12:41:01

回复 8楼 nazisoft 的帖子

呵呵，有手动HIPS的就不用担心了，手动HIPS果然比较给力啊

显示全部楼层 · 发表于 2011-4-1 12:44:54

本帖最后由 liulangzhecgr 于 2011-4-1 12:51 编辑

哈哈!又有事干啊...!

文件有点儿小!是否下栽者?!...

[病毒样本] 高质量，Ring3下感染MBR

本帖子中包含更多资源

本帖子中包含更多资源