1   1  /  1  页   跳转

[原创] TDSS TDL4 某专杀的测试结果

TDSS TDL4 某专杀的测试结果

俺玩儿TDSS TDL 至少有一年了吧。
今天发现网络上的新闻说:这DD开始在国内流行起来了,且某杀软商还搞出了专杀!


其实,TDSS TDL类的专杀早就有,且以卡巴斯基的TDSSKILLER效能较佳。

拿个TDSS TDLS4 样本,关闭所有安全软件,运行之。然后用某杀软商这个专杀试试:


结果,它说没毒



有毒没毒,咱请出TDSSKILLER看看:


明显有毒吗!且确实是TDSS TDL4。我没骗人。




这是俺测试用的病毒样本dll.exe及其运行后释放到临时目录下的的自身拷贝:






用户系统信息:Opera/9.80 (Windows NT 6.1; U; zh-cn) Presto/2.8.131 Version/11.11
最后编辑baohe 最后编辑于 2011-06-23 17:46:25
分享到:
gototop
 

回复: TDSS TDL4 某专杀的测试结果



引用:
原帖由 flyinhell1 于 2011-6-24 9:02:00 发表
用真机测试下看看再说吧.VMWARE 的多硬盘虚拟化,对底层检测可能有影响.


这个测试就是实机测试。两个专杀的测试结果均为病毒样本完整运行后的测试结果。

我从不用虚拟机测试TDSS TDL类病毒。没意义。
最后编辑baohe 最后编辑于 2011-06-24 09:24:31
gototop
 

回复: TDSS TDL4 某专杀的测试结果



引用:
原帖由 flyinhell 于 2011-6-24 10:37:00 发表
测试了几个卡饭的样本貌似可以查杀,LZ的样本是哪下载的?



连TDL3都不能搞掂啊!!有木有!!!下图是关闭所有安全软件后,运行tdl-3。待病毒完全运行后的杀毒结果比较(操作顺序:先用某专杀杀毒,再用卡巴的TDSSKILLER杀毒。)







给你这个样本,自己去实机测试吧(密码:123):




附件: tdl-3.rar (2011-6-24 17:58:36, 102.78 K)
该附件被下载次数 464

gototop
 

回复: TDSS TDL4 某专杀的测试结果



引用:
原帖由 flyinhell 于 2011-6-24 20:27:00 发表
TDL3 本来就没必要测。那工具是检测MBR的 ,TDL3只是感染系统文件 ,自然不能处理。TDL4的发上来看看吧 。



TDL4样本,360不是拿到了吗?还用我这样的外行提供?


这个TDL4(dll.exe)改写MBR的确切证据在此(见下图),但360这个专杀就是检测不到。




注解:


1、操作背景及过程:WINDOWS7 (32位旗舰版)系统。关闭所有安全软件,运行病毒样本dll.exe。待其完整运行后, 重启系统。此时,病毒感染过程已经全部完成。
2、运行360专杀,杀毒结果如主帖图所示。然后再运行卡巴专杀,查毒结果如主帖所示。关闭卡巴专杀(不杀毒)。将WINPE 引导盘(U盘)插入USB口,重启系统。
3、重启时按F12,选择U盘引导,进入WINPE环境。用SECTOREDITOR导出硬盘的MBR,以文本文件Disk0_0x0-virus.txt存贮。然后用WINPE自带的DISKGENIUS重建MBR,接下来,再找回硬盘各分区,保存结果。再用SECTOREDITOR导出硬盘的MBR 以文本文件Disk0_0x0-normal.txt存贮。
4、用  SECTOREDITOR将硬盘尾部的192个扇区填“0”,删除C盘中病毒释放的.tmp文件。
5、重启系统到Windows7  环境,用UC打开 Disk0_0x0-normal.txt 和  Disk0_0x0-virus.txt,比较文本中的差异。UC仅以行为位单位标识差异部分,比较结果 以淡蓝色显示。确切的差异部分我在上图中用两个红杠标出(红杠之间的内容)  。
最后编辑baohe 最后编辑于 2011-06-25 14:48:41
gototop
 

回复: TDSS TDL4 某专杀的测试结果



引用:
原帖由 flyinhell 于 2011-6-25 15:34:00 发表


引用:
原帖由 byxxdrls 于 2011-6-25 15:09:00 发表
360炒作起来是不顾脸面的

炒作自然不好,但总胜过于那些天天吹牛而又不作为的人。



1314.exe与360专杀及360急救箱:


运行病毒样本1314.exe前的系统环境环境:



运行1314.exe 后重启。然后运行360专杀:














重启系统,运行360急救箱:






至此,系统崩溃。
重启到安全模式,再运行360急救箱:





重启到WINDOWS7 ,再次运行360专杀:







运行卡巴斯基TDSSKILLER:


gototop
 

回复:TDSS TDL4 某专杀的测试结果

重启系统,再次运行TDSSKILLER:




gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT