深度QQ号码免费申请器官博
专注自动化软件开发

[LCG]鬼影2 专杀工具 (MBR修复工具)

针对网上流行的 鬼影2做的修复工具,除了执行时可以自动修复 鬼影2的 MBR外 ,还可以作为MBR诊断和修复的一个工具。
使用方法如下:
默认的
fixmbr /dump 将MBR DUMP 成文件,保存于当前目录的 mbr.bin下。
fixmbr /restoredump 将当前目录下备份的 mbr.bin写回到 MBR.
fixmbr /xp 将默认的 xp mbr 写入MBR中。
fixmbr /win7将默认的 win7 mbr写入 MBR 中。

如果是多硬盘的情况下 后面再加个参数,如果是第2个硬盘则 加 /1
比如 fixmbr  /dump  /1
其他依次类推。

FixMBR.zip

比特梵德发布了"超级工厂"病毒的专杀工具

据来自比特梵德中国的最新消息,比特梵德已发布了针对超级工厂病毒Stuxnet的专杀工具(Stuxnet国内译成“震网”、“超级病毒”或“超级工厂”,以下称“超级工厂”)。 BitDefender已于7月中旬截获Stuxnet蠕虫病毒,并将其命名为Win32.Worm.Stuxnet。该专杀工具可以完全清除目前所发现 的所有Stuxnet变种,当然也可以清除Stuxnet蠕虫残留在系统中的Rootkit驱动程序,所有安装BitDefender反病毒产品的用户将会受到保护。

比特梵德最早于7月中旬发现超级工厂病毒Win32.Worm.Stuxnet,超级工厂病毒Stuxnet的目的不像一般的病毒,干扰电脑正常运行或盗窃用户财产和隐私,其最终目的是入侵Simatic WinCC SCADA系统,该系统主要被用做工业控制系统,能够监控工业生产、基础设施或基于设施的工业流程。类似的系统在全球范围内被广泛地应用于输油管道、发电厂、大型通信系统、机场、轮船甚至军事设施。

“超级工厂”利用的是微软的“零日漏洞进行系统攻击和进行传播的,而且会通过可移动磁盘来传播。它由一个恶意构造的Lnk文件和一个动态库构成。通过伪装RealTek与JMicron两大公司的数字签名,从而顺利绕过安全产品的检测,当用户打开U盘时,无需点击任何程序,仅查看该病毒文件,该文件就可以利用多个Windows漏洞加载起来,从而执行具有破坏行为的恶意代码。

“比特梵德于7月19号将Stuxnet蠕虫签名正式加入到BitDefender病毒库中,防止该蠕虫通过零日漏洞感染更多的电脑。当然我们考虑到为了帮助全球千万用户免受该蠕虫的攻击,我们特发布了针对该蠕虫的专杀工具。即使您的电脑没有安装比特梵德,也可以免费下载该专杀工具来彻底查杀Stuxnet蠕虫”--BitDefender在线威胁病毒实验室主管Catalin Cosoi。

比特梵德 针对Stuxnet蠕虫专杀工具可以同时运行在32位和64位系统,可以彻底将它查杀干净。
Stuxnet蠕虫专杀工具下载地址:http://www.malwarecity.com/community/index.php?app=downloads&showfile=12

比特梵德 中国
如果您无法下载,请联系比特梵德中国服务中心:0755-82310188

神秘“鬼影”病毒袭击Winxp系统,重装也无法消灭(专杀已发布)

以前,常听用户说,中毒了没啥,大不了重装。但现在,这句话将成为历史。金山安全实验室捕获一种被命名为“鬼影”的病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将病毒清除出去。当系统再次重启时,病毒会早于操作系统内核加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何母体程序的特征,病毒就象“鬼影”一样在中毒电脑上阴魂不散。

病毒特征:
1.“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
(分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)

2.a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
(“鬼影”病毒是近年来极为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit,主要在国外技术论坛传播,在 “鬼影”病毒之前,这一技术少有被黑客利用的案例。

3.病毒母体自删除

4.重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。

5.b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。

6.b驱动会下载av终结者到电脑中,并运行。

7.下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。 阅读全文