http://fengcheng620.info/archives/294
BMW病毒与新鬼影病毒的处理方式:不谈360与金山
时间:2011-09-2 22:08 分类:技术 评论数:0 条
究竟弄清楚了被360和金山遮遮掩掩的一个鬼影病毒的翻版终于搞清楚了什么情况了:这是一款貌似从鬼影病毒变种的可改写Award
BIOS的新型病毒。这款病毒主要的感染点包括MBR与32位的支持FAT32与NTFS文件系统的Windows操作系统,而修改BIOS的目的是对
MBR进行写保护,致使杀毒软件在其修改MBR无法修复。而按照360的分析,这款病毒的分析还增加了ISA模块BIOS部分,名为HOOK.ROM,作
用主要是检测MBR部分是否被恢复。如果发现MBR部分已被修复,就将BIOS内的病毒代码约
14个扇区写入MBR中,导致用户反复格式化、高格低格,或重新分区都无效。
从这款病毒的传播方式和特点来看,其编写者的主要的目的是通过黑色产业链为导航站带流量,再下载更多木马或木马下载器,推广其他病毒或软件,而对于单机用户基本无太大威胁。
这款病毒造成的表象可能如下:1.首页被篡改为导航站 2.出现大量其他木马程序 3.重装系统仍然不能解决 4.屏幕上显示”Find it OK!”
之前对付鬼影病毒的处理方法是重建MBR,而对于新鬼影病毒(当然如果你愿意也可以称之为BMW病毒),简单的重建MBR不一定对于所有的BIOS都会有效果,因为Award BIOS会被写保护,这时候处理起来会更加麻烦。
如果你的电脑是非Award Bios的,那么这个处理方法就是与处理鬼影病毒的方法类似,最简单的就是使用鬼影病毒专杀就能处理掉,具体不赘述。
如果是Award Bios,那么需要做的就是刷新BIOS,将BIOS刷回来,建议在非硬盘下操作(例如FAT格式的U盘PE下),然后再在PE下清楚硬盘MBR(最好别进入硬盘的系统后清除,否则你会很悲剧的需要再刷一次BIOS),最后再重装系统应该就能搞定。
其实说白了,这次的被炒得有点夸张的病毒其实就是多了一个刷新BIOS的过程,而这个刷新Bios的过程会让很多朋友不敢轻易动自己的电脑。其实在
之前各厂家很多主板BIOS都带有硬盘引导区写保护功能,但是这仅仅是针对第一块IDE硬盘的保护,而非针对SATA和SCSI硬盘,而这次的病毒显然利
用了这点。不过在这次的病毒中有个很特殊的地方是专门感染Award Bios,这说明Award Bios可能出现了某些Bug。
其实之前有网友评论未来中毒的处理趋势是:刷新bios、刷新声卡、网卡、显卡的ROM、清空CPU的SMRAM、刷新硬盘的固件、重新激活电池,
最后完整的格式化硬盘,让每个磁道都重新初始化,然后才是重装系统。如果真的到了那一天,整个社会都将陷入恐慌,而至于金山与360,可能早被口水淹没了
吧。
| 
免费注册
发表于 2011-12-23 03:21