廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 2906 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x1
警告令:破壞硬盤MBR啓動扇區後門程序
警告令:破壞硬盤MBR啓動扇區後門程序

http://bbs.kaspersky.com.cn...14-1-1.html

  BitDefender近日發布一條緊急通告,檢測到一款破壞硬盤MBR扇區的後門程序Backdoor.Yonsole,該後門程序會阻止係統啓動。該後門程序最早抓獲於6月19日,星期六。它與多個應用程序捆綁出現,僞裝成“Microsoft® Windows重要更新 ”。初步分析顯示,目前它存在兩個病毒變種A和B,它們功能相同,只是破壞Windows服務的方式不同。BitDefender已經更新了自身的病毒特征碼,並發布了免費的移除工具。

  Backdoor.Yonsole成功感染主機係統以後,會在係統中安裝和注冊一個後門服務,允許遠程攻擊者執行命令,並啓動遠程桌面會話。遠程攻擊者可以發布一係列命令,甚至包括修改硬盤上的主引導記錄(MBR)區域,十分危險。

  BitDefender強烈建議疑似感染該病毒的用戶運行移除工具。如果MBR尚未修改,移除工具將清理病毒並重啓電腦。BitDefender於星期六當天更新了病毒特征碼,阻止並偵測Backdoor.Yonsole及其變種,因而BitDefender用戶鮮有感染該病毒。


爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:台灣台灣碩網 | Posted:2010-06-30 23:05 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

l兩個進程無法結束和刪除,經測試是個感染MBR的病毒

是一個6M的安裝程序,其實已經被黑客掉包

我運行後

2010-6-30 16:35:27   刪除文件   允許
進程: c:\documents and settings\administrator\local settings\temp\loader.exe
目標: C:\Program Files\1487921.dat
規則: [文件組]全局阻止建改刪 -> [文件]?:\program files\*

2010-6-30 16:35:42   創建新進程   允許
進程: f:\downloads\replacesetup\replacesetup.exe
目標: c:\documents and settings\administrator\local settings\temp\smss.exe
命令行: Executable.exe 1
規則: [應用程序]* -> [子應用程序]*\temp*\*

2010-6-30 16:35:43   修改注冊表值   允許
進程: c:\documents and settings\administrator\local settings\temp\loader.exe
目標: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
規則: [注冊表組]IE浏覽器設置阻止 -> [注冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:35:48   刪除文件   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: C:\Program Files\1508171.dat
規則: [文件組]全局阻止建改刪 -> [文件]?:\program files\*

2010-6-30 16:36:03   修改注冊表值   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
規則: [注冊表組]IE浏覽器設置阻止 -> [注冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:36:54   修改其他進程的內存   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: c:\program files\internet explorer\iexplore.exe
規則: [應用程序]*

2010-6-30 16:37:01   在其他進程中創建線程   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: c:\program files\internet explorer\iexplore.exe
規則: [應用程序]*

不添加任何啓動項或服務,
重啓電腦後,係統中即出現症狀:

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

XueTr 和IceSword均無法結束其進程。

使用Gmer 出品的那個mbr.exe 無法修複。
打開XueTr 即顯示可疑mbr rootkit 是否要修複。

選擇修複後重啓係統分區表被破壞,提示找不到係統。

在PE環境下重建分區表解決問題


爸爸 你一路好走
獻花 x0 回到頂端 [1 樓] From:台灣中華電信 | Posted:2010-07-01 11:13 |
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

那麼請教一下,mbr.exe可以「檢測」出MBR Rootkit的存在嗎?
以及您所謂mbr.exe無法修復MBR,是怎麼個無法修復法?可麻煩簡單敘述一下您的操作流程嗎?
一直沒環境可以測試這些東西,對於檢測、修復所準備的方案也是非常的有限…,還請upside大作經驗分享囉。


獻花 x0 回到頂端 [2 樓] From:台灣中華電信 | Posted:2010-07-01 16:45 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

mbr.exe 可以「檢測」出MBR Rootkit
但不一定能修復 因為病毒體仍然存在
它會不斷比對MBR是否與它一致

我使用XueTr修復 但導致MBR 損毀
只好使用 PE 重建分割表
其實使用 SPFDISK 也可以


爸爸 你一路好走
獻花 x0 回到頂端 [3 樓] From:台灣台灣碩網 | Posted:2010-07-02 00:21 |
LostDream
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x6
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

XueTr於之前看過的案例使MBR出狀況,不過是因無白名單所造成問題,臨床上還是避免用他來處理MBR囉。
如果mbr.exe可以檢測出MBR Rootkit的存在,那麼修復上應該也行得通;惡意程式處理過程並不針對單一部份,而是循序漸進的處理流程。感謝upside大經驗分享,已經有個大概的頭緒了。
其他就等碰到在想辦法,雖然對岸鬧的火熱,目前看來台灣尚未見到「確認案例」,倒是該慶幸囉。


[ 此文章被LostDream在2010-07-02 03:43重新編輯 ]


獻花 x0 回到頂端 [4 樓] From:台灣中華電信 | Posted:2010-07-02 01:56 |
ebolaman 手機 會員卡
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎

級別: 副版主 該用戶目前不上站
版區: 程式設計
推文 x38 鮮花 x458
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

upside 你有親自運行過?...
好恐怖的感覺,我也想要運行看看耶
不過連 IceSword 都關不掉,還真厲害
如果用 Comodo 來攔截,應該只會攔截到 Access Disk 的動作而已...以前我都不知道那也有可能去破壞 MBR ...


My BOINC stats :

獻花 x0 回到頂端 [5 樓] From:台灣台灣寬頻 | Posted:2010-07-02 09:36 |
minelin
數位造型
個人文章 個人相簿 個人日記 個人地圖
路人甲
級別: 路人甲 該用戶目前不上站
推文 x0 鮮花 x0
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

各位好,小弟在六月電腦中了,正是這兩隻,路徑名稱都一樣,沒在啟動程序裡可是就是會在開機時啟動,不過防毒檢測出是Trojan-Clicker.win32.cycler,症狀是IE會自動連上某廣告網頁,目前治標方法是進安全模式把 c:\System Volume Information整個移除再開機當次就沒再出現,但再重開後又會生出來,一直找不到元兇....所以目前只能先用XueTr 修復MBR再重建囉?我再試試看...謝謝


[ 此文章被minelin在2010-07-04 15:01重新編輯 ]


獻花 x0 回到頂端 [6 樓] From:台灣中華電信 | Posted:2010-07-04 13:33 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.110958 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言