感染MBR~~~禁用IPS的马儿

FreeEquFraT

回复 16楼 byxxdrls 的帖子

能不能提供一下acc.exe这个样本呢

byxxdrls

回复 21楼 FreeEquFraT 的帖子

acc.exe被病毒自己删除了。16楼的那个是个EXE文件，运行它会生成acc.exe吧

FreeEquFraT

回复 22楼 byxxdrls 的帖子

16楼那个还没生成acc.exe就运行不下去了，我修改一下规则看看吧。

FreeEquFraT

回复 22楼 byxxdrls 的帖子


麻烦您看一下，是这个acc.exe修改MBR吗？

byxxdrls

回复 23楼 FreeEquFraT 的帖子

装了EQ，拦截了删除操作，得到acc.exe

FreeEquFraT

回复 25楼 byxxdrls 的帖子

呵呵，我也拿到了acc了，不过我看MD的拦截日志没看到类似修改MBR的行为，这让我有点奇怪啊。

hujiwa

这个马比较经典了

byxxdrls

回复 24楼 FreeEquFraT 的帖子

1. 22:48:19.6954312        iexplore.exe        1408        写入文件        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XTQTVLQF\login_11[1].jpg        成功        Offset: 0, 长度: 1,151
   
2. 22:48:20.0305817        acc.exe        896        写入文件        C:\Documents and Settings\All Users\Documents\My Videos\TVCbid.tmp        成功        Offset: 0, 长度: 28,160
   
3. 22:48:20.0312217        acc.exe        896        写入文件        \Device\Harddisk0\DR0        成功        Offset: 0, 长度: 30,720, I/O 标识: 无缓冲
   

复制代码

运行后有联网行为，在联网后才写MBR，也许还涉及到漏洞问题。

FreeEquFraT

回复 28楼 byxxdrls 的帖子

难怪，我试的时候没联网，而且你这个日志是什么软件的？

byxxdrls

回复 29楼 FreeEquFraT 的帖子

我只会用process monitor来监控，EQ之类的HIPS觉得不是几天就能学好的。