Win8系统中能运行的ZeroAccess木马 bbs.ikaka.com

baohe - 2012-3-13 16:43:00

系统：Win8预览版，全补丁

杀软：毒霸2012（Win8预览版）

以前的ZeroAccess样本基本不能在Win8系统内完全运行起来。今天这个新变种则可在Win8中流畅运行。

开着毒霸2012（默认设置），毒霸无任何反应。:kaka6:

释放的隐藏病毒文件在DiskGenius中可见：

另：此木马下载FlashPlayer插件并安装到%system%\macromed\flash目录下。将这些文件转存到U盘，退出 Acronis Try&Decide模式，然后对比正常与病毒下载安装的相关文件的MD5 ————完全相同。不知这是神马意思。

不知瑞星能认识此马否？附上样本：

附件: ober.zip (2012-3-13 16:45:54, 166.09 K)
该附件被下载次数 1519

用户系统信息：Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60

天月来了 - 2012-3-13 18:44:00

这也叫与时俱进嘛:kaka12:

networkedition - 2012-3-14 9:05:00

样本已收集。

networkedition - 2012-3-15 9:26:00

最新版已可以查杀。

奇缘の随风 - 2012-3-22 9:04:00

请问猫哥
Acronis Try 的保护强度怎么样？
对mbr和扇区的保护呢？比如开Acronis Try防护模式，测毒，让病毒完全释放，这时候病毒要求重启电脑。
在电脑重启的时候，和电脑启动后Acronis Try 的防护会不会漏？
在测试完病毒后，关闭Acronis Try 恢复操作，能否完全恢复！

我用了2012还是2011忘了，感觉有点卡。
目前在用Shadow Defender

baohe - 2012-3-22 9:29:00

Acronis Try 的保护还不错。除了TDSS类比较强悍的Mbr病毒外，其它病毒基本不能穿透其保护。
此外，Acronis True Image提供全备份（包括引导扇的1-63扇区）、抢先引导（开机按F11）以及抢先引导后的备份恢复等功能。若在安装后能充分使用这些功能，基本上可以无忧。即使出了问题，恢复系统也就是十几分钟的事情。

奇缘の随风 - 2012-3-22 13:11:00

谢谢，有空在详细的试试看

奇缘の随风 - 2012-3-22 21:57:00

第一次能用的，应该更改后没有重启。
用的2011版，不知道是什么原因。