又一个改写MBR的病毒（TDSS TDL4） bbs.ikaka.com

baohe - 2011-2-11 17:13:00

此毒为TDSS TDL4 的又一个变种。RIS2011 目前尚未收录此毒。
此毒的主要行为是改写MBR，并在硬盘尾部的190个扇区内写入病毒代码。
病毒的上述动作可穿透还原类软件对系统的保护。
我在Acronis True Image 2010的 Try&Decide模式保护下运行此样本，Acronis True Image 2010的 Try&Decide 保护被穿透了。具体表现为：运行病毒样本后，重启电脑，脱离Try&Decide模式，不能登录系统。
此后，用WIN7 PE U盘引导，在PE环境下，重建MBR，并用工具清除硬盘尾部190个扇区中的病毒代码。再重启系统。搞掂！

此毒行为的另一特点是：它添加的注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations\键值用普通的注册表编辑工具不能发现。但用XueTr可以发现（此键值指向病毒在当前用户临时目录下释放的两个tmp程序）

附图是运行此毒后的MBR改写、硬盘尾部扇区改写、文件释放、注册表改动以及XueTr所见的病毒驱动模块：

用户系统信息：Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.7.62 Version/11.00

天月来了 - 2011-2-11 18:03:00

只有加库防了

这后期的处理，杀毒软件都有点力不从心的感觉

春天的小水竹 - 2011-2-12 10:08:00

真杯具。。。又一个搞磁盘扇区的病毒，非专业的菜鸟遇到这类病毒只有哭的份了

奇缘の随风 - 2011-2-12 16:10:00

明媚汉化的CA HIPS

流浪●剑尊 - 2011-2-13 11:08:00

猫叔，你啥时也教我两招，我也去弄个毒测试一下

风之仙 - 2011-2-13 12:58:00

猫叔用什么工具清除硬盘扇区的病毒代码的？我在网上看到说遇到引导区病毒在PE下更新一下MBR就行了，是这样的吗？:kaka2:

baohe - 2011-2-14 20:55:00

引用:

原帖由 风之仙 于 2011-2-13 12:58:00 发表
猫叔用什么工具清除硬盘扇区的病毒代码的？我在网上看到说遇到引导区病毒在PE下更新一下MBR就行了，是这样的吗？:kaka2:

1、用sectorediter清除硬盘扇区尾部的病毒内容。
2、这类病毒的变种有多个。有的，可以通过在PE下重建MBR简单解决；有的则不行。

nocrack - 2011-2-15 10:45:00

大版主：
我在网上找了很多sectorediter，结果跟（http://bbs.ikaka.com/showtopic-8734239.aspx）这位仁兄是一样的，故恳请 baohe 能给我发一份，或者说一下解压密码邮箱：nocrack@foxmail.com

attackgod - 2011-2-15 21:06:00

学习到了

夲號ヱ被ジ盜 - 2011-2-15 21:14:00

小白中了后就悲剧了

梦幻の星oо - 2011-2-18 18:37:00

:kaka12: 呵呵感谢猫叔的分析

奇缘の随风 - 2011-2-24 8:22:00

如何知道从哪里到哪里被改写?
导入导出功能可以当成备份么?

baohe - 2011-2-24 9:58:00

引用:

原帖由 奇缘の随风 于 2011-2-24 8:22:00 发表
如何知道从哪里到哪里被改写?
导入导出功能可以当成备份么?

第一个问题：

正常情况下，硬盘尾部的数百个扇区为空（否则你的硬盘就已经爆满了）。因而，正常情况下，用sectorediter查看硬盘尾部扇区，应该都是空的（扇区内的数字均为0）。

具体操作：
1、打开sectorediter，点击下图红箭头所指之处，即刻翻到硬盘的最后一个扇区。

2、这时，逐次点击下图蓝箭头所指之处，依次向前逐个扇区浏览。如此逆向浏览到第一个空扇区，即可确定病毒代码占用的硬盘尾部的扇区总数。

注意：中了这个TDSS TDL4变种后，应用WINPE U盘引导系统到WINPE，在WINPE环境下实施上述操作，才能看到真实内容。在中毒的WINDOWS环境下，你看到的都是正常的内容（因为病毒在搞鬼）。

第二个问题：导出的扇区数据存贮为.bin，可以做为备份。必要时，可以导入。

rw1806 - 2011-3-8 17:45:00

可怜的计算机用户啊！

爱鱼的tby - 2011-4-5 12:27:00

好久没来了。
PowerTool －我用他查看的

嘟嘟222 - 2011-4-8 8:44:00

一看就是经典的免杀技巧:kaka12:

水晶0 - 2011-4-11 16:57:00

学习了一下，猫叔真是强人啊

selma - 2011-4-14 9:22:00

那是不是硬盘就毁了

baohe - 2011-4-14 9:34:00

引用:

原帖由 selma 于 2011-4-14 9:22:00 发表
那是不是硬盘就毁了

没事的。
手工杀毒即可弄死它。
用WINPE引导，在PE下收拾此毒，即可搞掂。操作并不复杂。

天月来了 - 2011-4-14 9:41:00

你不知道呢，我们这农村的县城里的修电脑的也是糊涂虫，为了挣钱，遇到引导区的，都是要用户换硬盘的，我都见过好几个了。

我自己都向朋友要了一个修理的说坏了的160G硬盘呢，修复引导区以后用的好好的。:kaka12:

baohe - 2011-4-14 10:38:00

引用:

原帖由 天月来了 于 2011-4-14 9:41:00 发表
你不知道呢，我们这农村的县城里的修电脑的也是糊涂虫，为了挣钱，遇到引导区的，都是要用户换硬盘的，我都见过好几个了。

我自己都向朋友要了一个修理的说坏了的160G硬盘呢，修复引导区以后用的好好的。:kaka12:

二嫂聪明啊！

你用的硬盘，以后就找那些傻冒供应吧。

暴风一号 - 2011-4-23 20:53:00

一旦怀疑中MBR病毒只要用DOS命令或分区工具里修复或重新写MBR就可以了
这种MBR病毒，一般没有可以找到的病毒体。因为此病毒已经在启动系统的时候，已经启动了。通常杀毒软件有点“力不从心”了。建议升级到WIN7，目前这种病毒还是针对XP的

baohe - 2011-4-23 21:08:00

引用:

原帖由 暴风一号 于 2011-4-23 20:53:00 发表
一旦怀疑中MBR病毒只要用DOS命令或分区工具里修复或重新写MBR就可以了
这种MBR病毒，一般没有可以找到的病毒体。因为此病毒已经在启动系统的时候，已经启动了。通常杀毒软件有点“力不从心”了。建议升级到WIN7，目前这种病毒还是针对XP的

WIN7 就不会中引导区病毒？你说的是鬼影吧？

TDSS TDL4和鬼影不是一码事。

我这个帖子就是在WIN7 系统中实机运行TDSS TDL4 样本后写的。

湖心小筑 - 2011-4-28 23:10:00

你上次分析的样本交流区里的那个，我在xp下运行后直接用卡巴专杀杀后，重启硬盘末尾的卡巴不会置0，但重启后未尾病毒的也没有被加载执行，进入系统用xuert也没有驱动项中也没有可疑的东东，说明卡巴的专杀可以处理。这个新的变种不知道能不能杀，楼主可否提供一下样本。

卡巴专杀为官网下载的最新版的

我另外测试了直接在PE下修复MBR也可以搞定你前面的样本。不用把硬盘末尾置0

不知道硬盘末尾的病毒是否也是靠前面的MBR引导定位后才能执行，如果说不用他完全可以不改MBR使病毒更隐密，这个只是个人猜想。

菜菜菜菜菜 - 2011-5-13 14:38:00

MBR....
如果是GPT的卷呢?
天生免疫还是两败俱伤(病毒运行不起来,系统也运行不起来)

瑞星卡卡安全论坛