12   1  /  2  页   跳转

[原创] Win8系统中能运行的ZeroAccess木马

Win8系统中能运行的ZeroAccess木马

系统:Win8预览版,全补丁

杀软:毒霸2012(Win8预览版)

以前的ZeroAccess样本基本不能在Win8系统内完全运行起来。今天这个新变种则可在Win8中流畅运行。

开着毒霸2012(默认设置),毒霸无任何反应。



释放的隐藏病毒文件在DiskGenius中可见:







另:此木马下载FlashPlayer插件并安装到%system%\macromed\flash目录下。将这些文件转存到U盘,退出 Acronis Try&Decide模式,然后对比正常与病毒下载安装的相关文件的MD5 ————完全相同。不知这是神马意思。




不知瑞星能认识此马否?附上样本:



附件: ober.zip (2012-3-13 16:45:54, 166.09 K)
该附件被下载次数 1520




用户系统信息:Opera/9.80 (Windows NT 6.2; U; Edition IBIS; zh-cn) Presto/2.10.229 Version/11.60
最后编辑baohe 最后编辑于 2012-03-13 16:45:54
分享到:
gototop
 

回复:Win8系统中能运行的ZeroAccess木马

这也叫与时俱进嘛
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 1F baohe 的帖子

样本已收集。
gototop
 

回复: Win8系统中能运行的ZeroAccess木马

最新版已可以查杀。
gototop
 

回复:Win8系统中能运行的ZeroAccess木马

请问猫哥
Acronis Try 的保护强度怎么样?
对mbr和扇区的保护呢?  比如 开Acronis Try防护模式,测毒,让病毒完全释放,这时候病毒要求重启电脑。
在电脑重启的时候,和电脑启动后Acronis Try  的防护会不会漏?
在测试完病毒后,关闭Acronis Try  恢复操作,能否完全恢复!

我用了2012还是2011忘了,感觉有点卡。
目前在用Shadow Defender
最后编辑奇缘の随风 最后编辑于 2012-03-22 09:07:48
gototop
 

回复 5F 奇缘の随风 的帖子

Acronis Try 的保护还不错。除了TDSS类比较强悍的Mbr病毒外,其它病毒基本不能穿透其保护。
此外,Acronis True Image提供全备份(包括引导扇的1-63扇区)、抢先引导(开机按F11)以及抢先引导后的备份恢复等功能。若在安装后能充分使用这些功能,基本上可以无忧。即使出了问题,恢复系统也就是十几分钟的事情。
gototop
 

回复:Win8系统中能运行的ZeroAccess木马

谢谢,有空在详细的试试看
gototop
 

回复: Win8系统中能运行的ZeroAccess木马

第一次能用的, 应该更改后没有重启。
用的2011版,不知道是什么原因 。


最后编辑奇缘の随风 最后编辑于 2012-03-22 22:02:19
gototop
 

回复 8F 奇缘の随风 的帖子

不能运行Try的原因已经明说了:系统分区是动态分区

普通分区,无论是主分区,还是逻辑分区,只要不是隐藏分区,都可进入Try而受到保护。


最后编辑baohe 最后编辑于 2012-03-22 22:03:31
gototop
 

回复: Win8系统中能运行的ZeroAccess木马

重启后就好了!!!!  囧

gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT