论坛 › 数据安全 › BMW病毒与新鬼影病毒的处理方式：不谈360与金山

a1234567mdy 发表于 2011-12-23 03:21

BMW病毒与新鬼影病毒的处理方式：不谈360与金山

<a href="http://fengcheng620.info/archives/294" target="_blank">http://fengcheng620.info/archives/294</a><br><div class="entitle">
                        BMW病毒与新鬼影病毒的处理方式：不谈360与金山
                  <p>时间：2011-09-2 22:08&nbsp;&nbsp;分类：<a href="http://fengcheng620.info/archives/category/technology" title="查看 技术 中的全部文章" rel="category tag" target="_blank">技术</a>&nbsp;&nbsp;评论数：<a href="http://fengcheng620.info/archives/294#respond" title="《BMW病毒与新鬼影病毒的处理方式：不谈360与金山》上的评论" target="_blank">0 条</a>&nbsp;&nbsp;</p>
                </div>
                <div class="neiwen">
                                        <br><div style="float: right;">
<div id="jiathis_style_32x32">
        <a title="分享到QQ空间" class="jiathis_button_qzone"><span class="jiathis_txt jtico jtico_qzone"></span></a>
        <a title="分享到新浪微博" class="jiathis_button_tsina"><span class="jiathis_txt jtico jtico_tsina"></span></a>
        <a title="分享到腾讯微博" class="jiathis_button_tqq"><span class="jiathis_txt jtico jtico_tqq"></span></a>
        <a title="分享到人人网" class="jiathis_button_renren"><span class="jiathis_txt jtico jtico_renren"></span></a>
        <a title="分享到开心网" class="jiathis_button_kaixin001"><span class="jiathis_txt jtico jtico_kaixin001"></span></a>
       
        <a class="jiathis_counter_style"><span title="累计分享0次" id="jiathis_counter_30" class="jiathis_button_expanded jiathis_counter jiathis_bubble_style">0</span></a>
</div>

</div><br><br><br><p><a href="http://fengcheng620.info/wp-admin/null" target="_blank"><img class="alignnone aligncenter" title="金山发布的分析代码" src="http://img5.pcpop.com/ArticleImages/0X0/2/2104/002104374.jpg" alt="" height="303" width="546"></a></p>
<p>究竟弄清楚了被360和金山遮遮掩掩的一个鬼影病毒的翻版终于搞清楚了什么情况了：这是一款貌似从鬼影病毒变种的可改写Award
BIOS的新型病毒。这款病毒主要的感染点包括MBR与32位的支持FAT32与NTFS文件系统的Windows操作系统，而修改BIOS的目的是对
MBR进行写保护，致使杀毒软件在其修改MBR无法修复。而按照360的分析，这款病毒的分析还增加了ISA模块BIOS部分，名为HOOK.ROM，作
用主要是检测MBR部分是否被恢复。如果发现MBR部分已被修复，就将BIOS内的病毒代码约
14个扇区写入MBR中，导致用户反复格式化、高格低格，或重新分区都无效。</p>
<p>从这款病毒的传播方式和特点来看，其编写者的主要的目的是通过黑色产业链为导航站带流量，再下载更多木马或木马下载器，推广其他病毒或软件，而对于单机用户基本无太大威胁。</p>
<p>这款病毒造成的表象可能如下：1.首页被篡改为导航站 2.出现大量其他木马程序 3.重装系统仍然不能解决 4.屏幕上显示”Find it OK!”</p>
<p>之前对付鬼影病毒的处理方法是重建MBR，而对于新鬼影病毒（当然如果你愿意也可以称之为BMW病毒），简单的重建MBR不一定对于所有的BIOS都会有效果，因为Award BIOS会被写保护，这时候处理起来会更加麻烦。</p>
<p>如果你的电脑是非Award Bios的，那么这个处理方法就是与处理鬼影病毒的方法类似，最简单的就是使用鬼影病毒专杀就能处理掉，具体不赘述。</p>
<p>如果是Award Bios，那么需要做的就是刷新BIOS，将BIOS刷回来，建议在非硬盘下操作（例如FAT格式的U盘PE下），然后再在PE下清楚硬盘MBR（最好别进入硬盘的系统后清除，否则你会很悲剧的需要再刷一次BIOS），最后再重装系统应该就能搞定。</p>
<p>其实说白了，这次的被炒得有点夸张的病毒其实就是多了一个刷新BIOS的过程，而这个刷新Bios的过程会让很多朋友不敢轻易动自己的电脑。其实在
之前各厂家很多主板BIOS都带有硬盘引导区写保护功能，但是这仅仅是针对第一块IDE硬盘的保护，而非针对SATA和SCSI硬盘，而这次的病毒显然利
用了这点。不过在这次的病毒中有个很特殊的地方是专门感染Award Bios，这说明Award Bios可能出现了某些Bug。</p>
<p>其实之前有网友评论未来中毒的处理趋势是：刷新bios、刷新声卡、网卡、显卡的ROM、清空CPU的SMRAM、刷新硬盘的固件、重新激活电池，
最后完整的格式化硬盘，让每个磁道都重新初始化，然后才是重装系统。如果真的到了那一天，整个社会都将陷入恐慌，而至于金山与360，可能早被口水淹没了
吧。</p></div><br>

查看完整版本: BMW病毒与新鬼影病毒的处理方式：不谈360与金山