警告令：破壞硬盤MBR啓動扇區後門程序

http://bbs.kaspersky.com.cn...14-1-1.html

　　BitDefender近日發布一條緊急通告，檢測到一款破壞硬盤MBR扇區的後門程序Backdoor.Yonsole，該後門程序會阻止係統啓動。該後門程序最早抓獲於6月19日，星期六。它與多個應用程序捆綁出現，僞裝成“Microsoft® Windows重要更新 ”。初步分析顯示，目前它存在兩個病毒變種A和B，它們功能相同，只是破壞Windows服務的方式不同。BitDefender已經更新了自身的病毒特征碼，並發布了免費的移除工具。

　　Backdoor.Yonsole成功感染主機係統以後，會在係統中安裝和注冊一個後門服務，允許遠程攻擊者執行命令，並啓動遠程桌面會話。遠程攻擊者可以發布一係列命令，甚至包括修改硬盤上的主引導記錄(MBR)區域，十分危險。

　　BitDefender強烈建議疑似感染該病毒的用戶運行移除工具。如果MBR尚未修改，移除工具將清理病毒並重啓電腦。BitDefender於星期六當天更新了病毒特征碼，阻止並偵測Backdoor.Yonsole及其變種，因而BitDefender用戶鮮有感染該病毒。

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

l兩個進程無法結束和刪除，經測試是個感染MBR的病毒

是一個6M的安裝程序，其實已經被黑客掉包

我運行後

2010-6-30 16:35:27   刪除文件   允許
進程: c:\documents and settings\administrator\local settings\temp\loader.exe
目標: C:\Program Files\1487921.dat
規則: [文件組]全局阻止建改刪 -> [文件]?:\program files\*

2010-6-30 16:35:42   創建新進程   允許
進程: f:\downloads\replacesetup\replacesetup.exe
目標: c:\documents and settings\administrator\local settings\temp\smss.exe
命令行: Executable.exe 1
規則: [應用程序]* -> [子應用程序]*\temp*\*

2010-6-30 16:35:43   修改注冊表值   允許
進程: c:\documents and settings\administrator\local settings\temp\loader.exe
目標: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
規則: [注冊表組]IE浏覽器設置阻止 -> [注冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:35:48   刪除文件   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: C:\Program Files\1508171.dat
規則: [文件組]全局阻止建改刪 -> [文件]?:\program files\*

2010-6-30 16:36:03   修改注冊表值   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
規則: [注冊表組]IE浏覽器設置阻止 -> [注冊表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:36:54   修改其他進程的內存   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: c:\program files\internet explorer\iexplore.exe
規則: [應用程序]*

2010-6-30 16:37:01   在其他進程中創建線程   允許
進程: c:\documents and settings\administrator\local settings\temp\smss.exe
目標: c:\program files\internet explorer\iexplore.exe
規則: [應用程序]*

不添加任何啓動項或服務，
重啓電腦後，係統中即出現症狀：

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

XueTr 和IceSword均無法結束其進程。

使用Gmer 出品的那個mbr.exe 無法修複。
打開XueTr 即顯示可疑mbr rootkit 是否要修複。

選擇修複後重啓係統分區表被破壞，提示找不到係統。

在PE環境下重建分區表解決問題

那麼請教一下，mbr.exe可以「檢測」出MBR Rootkit的存在嗎？
以及您所謂mbr.exe無法修復MBR，是怎麼個無法修復法？可麻煩簡單敘述一下您的操作流程嗎？
一直沒環境可以測試這些東西，對於檢測、修復所準備的方案也是非常的有限…，還請upside大作經驗分享囉。

mbr.exe 可以「檢測」出MBR Rootkit
但不一定能修復 因為病毒體仍然存在
它會不斷比對MBR是否與它一致

我使用XueTr修復 但導致MBR 損毀
只好使用 PE 重建分割表
其實使用 SPFDISK 也可以

XueTr於之前看過的案例使MBR出狀況，不過是因無白名單所造成問題，臨床上還是避免用他來處理MBR囉。
如果mbr.exe可以檢測出MBR Rootkit的存在，那麼修復上應該也行得通；惡意程式處理過程並不針對單一部份，而是循序漸進的處理流程。感謝upside大經驗分享，已經有個大概的頭緒了。
其他就等碰到在想辦法，雖然對岸鬧的火熱，目前看來台灣尚未見到「確認案例」，倒是該慶幸囉。

upside 你有親自運行過?...
好恐怖的感覺，我也想要運行看看耶
不過連 IceSword 都關不掉，還真厲害
如果用 Comodo 來攔截，應該只會攔截到 Access Disk 的動作而已...以前我都不知道那也有可能去破壞 MBR ...

各位好，小弟在六月電腦中了，正是這兩隻，路徑名稱都一樣，沒在啟動程序裡可是就是會在開機時啟動，不過防毒檢測出是Trojan-Clicker.win32.cycler，症狀是IE會自動連上某廣告網頁，目前治標方法是進安全模式把 c:\System Volume Information整個移除再開機當次就沒再出現，但再重開後又會生出來，一直找不到元兇....所以目前只能先用XueTr 修復MBR再重建囉?我再試試看...謝謝