警告令：破坏硬盘MBR启动扇区后门程序

http://bbs.kaspersky.com.cn...14-1-1.html

　　BitDefender近日发布一条紧急通告，检测到一款破坏硬盘MBR扇区的后门程序Backdoor.Yonsole，该后门程序会阻止系统启动。该后门程序最早抓获于6月19日，星期六。它与多个应用程序捆绑出现，伪装成“Microsoft® Windows重要更新 ”。初步分析显示，目前它存在两个病毒变种A和B，它们功能相同，只是破坏Windows服务的方式不同。BitDefender已经更新了自身的病毒特征码，并发布了免费的移除工具。

　　Backdoor.Yonsole成功感染主机系统以后，会在系统中安装和注册一个后门服务，允许远程攻击者执行命令，并启动远程桌面会话。远程攻击者可以发布一系列命令，甚至包括修改硬盘上的主引导记录(MBR)区域，十分危险。

　　BitDefender强烈建议疑似感染该病毒的用户运行移除工具。如果MBR尚未修改，移除工具将清理病毒并重启电脑。BitDefender于星期六当天更新了病毒特征码，阻止并侦测Backdoor.Yonsole及其变种，因而BitDefender用户鲜有感染该病毒。

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

l两个进程无法结束和删除，经测试是个感染MBR的病毒

是一个6M的安装程序，其实已经被黑客掉包

我运行后

2010-6-30 16:35:27   删除文件   允许
进程: c:\documents and settings\administrator\local settings\temp\loader.exe
目标: C:\Program Files\1487921.dat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2010-6-30 16:35:42   创建新进程   允许
进程: f:\downloads\replacesetup\replacesetup.exe
目标: c:\documents and settings\administrator\local settings\temp\smss.exe
命令行: Executable.exe 1
规则: [应用程序]* -> [子应用程序]*\temp*\*

2010-6-30 16:35:43   修改注册表值   允许
进程: c:\documents and settings\administrator\local settings\temp\loader.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
规则: [注册表组]IE浏览器设置阻止 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:35:48   删除文件   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: C:\Program Files\1508171.dat
规则: [文件组]全局阻止建改删 -> [文件]?:\program files\*

2010-6-30 16:36:03   修改注册表值   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Enable Browser Extensions
值: no
规则: [注册表组]IE浏览器设置阻止 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\*

2010-6-30 16:36:54   修改其他进程的内存   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

2010-6-30 16:37:01   在其他进程中创建线程   允许
进程: c:\documents and settings\administrator\local settings\temp\smss.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*

不添加任何启动项或服务，
重启电脑后，系统中即出现症状：

C:\System Volume Information\Microsoft\services.exe
C:\System Volume Information\Microsoft\smss.exe

XueTr 和IceSword均无法结束其进程。

使用Gmer 出品的那个mbr.exe 无法修复。
打开XueTr 即显示可疑mbr rootkit 是否要修复。

选择修复后重启系统分区表被破坏，提示找不到系统。

在PE环境下重建分区表解决问题

那么请教一下，mbr.exe可以「检测」出MBR Rootkit的存在吗？
以及您所谓mbr.exe无法修复MBR，是怎么个无法修复法？可麻烦简单叙述一下您的操作流程吗？
一直没环境可以测试这些东西，对于检测、修复所准备的方案也是非常的有限…，还请upside大作经验分享啰。

mbr.exe 可以「检测」出MBR Rootkit
但不一定能修复 因为病毒体仍然存在
它会不断比对MBR是否与它一致

我使用XueTr修复 但导致MBR 损毁
只好使用 PE 重建分割表
其实使用 SPFDISK 也可以

XueTr于之前看过的案例使MBR出状况，不过是因无白名单所造成问题，临床上还是避免用他来处理MBR啰。
如果mbr.exe可以检测出MBR Rootkit的存在，那么修复上应该也行得通；恶意程式处理过程并不针对单一部份，而是循序渐进的处理流程。感谢upside大经验分享，已经有个大概的头绪了。
其他就等碰到在想办法，虽然对岸闹的火热，目前看来台湾尚未见到「确认案例」，倒是该庆幸啰。

upside 你有亲自运行过?...
好恐怖的感觉，我也想要运行看看耶
不过连 IceSword 都关不掉，还真厉害
如果用 Comodo 来拦截，应该只会拦截到 Access Disk 的动作而已...以前我都不知道那也有可能去破坏 MBR ...

各位好，小弟在六月电脑中了，正是这两只，路径名称都一样，没在启动程序里可是就是会在开机时启动，不过防毒检测出是Trojan-Clicker.win32.cycler，症状是IE会自动连上某广告网页，目前治标方法是进安全模式把 c:\System Volume Information整个移除再开机当次就没再出现，但再重开后又会生出来，一直找不到元凶....所以目前只能先用XueTr 修复MBR再重建啰?我再试试看...谢谢