又一個改寫MBR的病毒（TDSS TDL4）

 

此毒為TDSS TDL4 的又一個變種。RIS2011 目前尚未收錄此毒。
此毒的主要行為是改寫MBR，並在硬盤尾部的190個扇區內寫入病毒代碼。
病毒的上述動作可穿透還原類軟件對系統的保護。
我在Acronis True Image 2010的 Try&Decide模式保護下運行此樣本，Acronis True Image 2010的 Try&Decide 保護被穿透了。具體表現為：運行病毒樣本后，重啟電腦，脫離Try&Decide模式，不能登錄系統。
此后，用WIN7 PE U盤引導，在PE環境下，重建MBR，並用工具清除硬盤尾部190個扇區中的病毒代碼。再重啟系統。搞掂！

此毒行為的另一特點是：它添加的注冊表項HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSession ManagerPendingFileRenameOperations鍵值用普通的注冊表編輯工具不能發現。但用XueTr可以發現（此鍵值指向病毒在當前用戶臨時目錄下釋放的兩個tmp程序）

附圖是運行此毒后的MBR改寫、硬盤尾部扇區改寫、文件釋放、注冊表改動以及XueTr所見的病毒驅動模塊：

















附件是病毒樣本
樣本名稱2IC.rar 此毒為TDSS TDL4 的變種
此毒的主要行為是改寫MBR，並在硬盤尾部的190個扇區內寫入病毒代碼。
上述病毒動作可穿透還原類軟件。
我在Acronis True Image 2010的 Try&Decide模式保護下運行此樣本，Acronis True Image 2010的 Try&Decide 保護被穿透了。具體表現為：重啟電腦，脫離Try&Decide模式，不能登錄系統。
此后，用WIN7 PE U盤引導，在PE環境下，重建MBR，並清除硬盤尾部190個扇區的病毒代碼。再重啟系統。搞掂！
附上此毒樣本及其釋放的病毒文件（無密碼）；其中setup3541977020是此樣本運行后釋放的病毒主體

本部分內容設定了隱藏，需要回復后才能看到