http://fengcheng620.info/archives/294
BMW病毒與新鬼影病毒的處理方式:不談360與金山
時間:2011-09-2 22:08 分類:技術(shù) 評論數(shù):0 條
究竟弄清楚了被360和金山遮遮掩掩的一個鬼影病毒的翻版終于搞清楚了什么情況了:這是一款貌似從鬼影病毒變種的可改寫Award
BIOS的新型病毒�。這款病毒主要的感染點包括MBR與32位的支持FAT32與NTFS文件系統(tǒng)的Windows操作系統(tǒng)���,而修改BIOS的目的是對
MBR進行寫保護���,致使殺毒軟件在其修改MBR無法修復(fù)。而按照360的分析���,這款病毒的分析還增加了ISA模塊BIOS部分����,名為HOOK.ROM���,作
用主要是檢測MBR部分是否被恢復(fù)����。如果發(fā)現(xiàn)MBR部分已被修復(fù),就將BIOS內(nèi)的病毒代碼約
14個扇區(qū)寫入MBR中���,導(dǎo)致用戶反復(fù)格式化�����、高格低格�,或重新分區(qū)都無效����。
從這款病毒的傳播方式和特點來看,其編寫者的主要的目的是通過黑色產(chǎn)業(yè)鏈為導(dǎo)航站帶流量����,再下載更多木馬或木馬下載器,推廣其他病毒或軟件���,而對于單機用戶基本無太大威脅。
這款病毒造成的表象可能如下:1.首頁被篡改為導(dǎo)航站 2.出現(xiàn)大量其他木馬程序 3.重裝系統(tǒng)仍然不能解決 4.屏幕上顯示”Find it OK!”
之前對付鬼影病毒的處理方法是重建MBR���,而對于新鬼影病毒(當然如果你愿意也可以稱之為BMW病毒)����,簡單的重建MBR不一定對于所有的BIOS都會有效果,因為Award BIOS會被寫保護�,這時候處理起來會更加麻煩。
如果你的電腦是非Award Bios的��,那么這個處理方法就是與處理鬼影病毒的方法類似��,最簡單的就是使用鬼影病毒專殺就能處理掉�,具體不贅述。
如果是Award Bios���,那么需要做的就是刷新BIOS����,將BIOS刷回來��,建議在非硬盤下操作(例如FAT格式的U盤PE下)���,然后再在PE下清楚硬盤MBR(最好別進入硬盤的系統(tǒng)后清除����,否則你會很悲劇的需要再刷一次BIOS)�,最后再重裝系統(tǒng)應(yīng)該就能搞定。
其實說白了,這次的被炒得有點夸張的病毒其實就是多了一個刷新BIOS的過程����,而這個刷新Bios的過程會讓很多朋友不敢輕易動自己的電腦。其實在
之前各廠家很多主板BIOS都帶有硬盤引導(dǎo)區(qū)寫保護功能���,但是這僅僅是針對第一塊IDE硬盤的保護�,而非針對SATA和SCSI硬盤�,而這次的病毒顯然利
用了這點。不過在這次的病毒中有個很特殊的地方是專門感染Award Bios���,這說明Award Bios可能出現(xiàn)了某些Bug����。
其實之前有網(wǎng)友評論未來中毒的處理趨勢是:刷新bios����、刷新聲卡、網(wǎng)卡����、顯卡的ROM����、清空CPU的SMRAM��、刷新硬盤的固件���、重新激活電池,
最后完整的格式化硬盤����,讓每個磁道都重新初始化,然后才是重裝系統(tǒng)�。如果真的到了那一天,整個社會都將陷入恐慌����,而至于金山與360,可能早被口水淹沒了
吧�����。
| 
免費注冊
發(fā)表于 2011-12-23 03:21