天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

金山毒霸:新鬼影病毒学CIH改写主板BIOS

2011-9-3华军资讯佚名

9月2日,金山安全中心捕获鬼影病毒最新变种,该变种会改写特定型号的主板BIOS芯片。若改写成功,鬼影病毒破坏的MBR(硬盘主引导记录)就被保护,杀毒软件修复受损MBR的操作会失败。中毒电脑就算格式化硬盘,也不能清除病毒,金山毒霸可完整清除。

新鬼影病毒主要通过假冒游戏外挂和电影播放器传播,其主要攻击目标是游戏玩家和在线看视频的网民。中毒后的主要表现是主页被锁定为www.my2345.cc,杀毒软件反复报毒(因病毒母体会下载盗号木马)。即使格式化重装,这些现象依旧不能解决。

新鬼影病毒可以改写特定型号主板BIOS,这很容易让人联想到Windows 95时代流行的CIH病毒,当时有杀毒厂商称CIH病毒可以破坏硬件。中毒后的电脑将完全黑屏,不能启动。

新鬼影病毒的目的和CIH完全不同,CIH是以破坏系统为主,而新鬼影则是以赚钱为主,不会破坏系统,中毒电脑不会出现黑屏和分区受损。其主要目的是为导航站带流量,再下载更多木马或木马下载器,推广其他病毒或软件。

新鬼影病毒先判定当前系统主板BIOS是否为Award BIOS,然后再查找SMI端口,写入新的BIOS内容,其目的是保护硬盘MBR(主引导记录)被其他程序改写。这样就造成杀毒软件或一些磁盘编辑工具无法查看或编辑主板MBR信息,从而使病毒难以清除。

图1 新鬼影病毒改写BIOS的代码

“从这个病毒的源代码分析,其字符串加密手法和以前的鬼影病毒有很多相似之处,分析师初步判断该病毒和老鬼影病毒是一个团伙所为。”9月1日,两高院司法解释强化了对病毒集团的打击力度。金山安全专家指出,“这些作恶的病毒集团终将受到法律严惩。”

金山毒霸2012内置的K+行为防御可以完美保护安装了金山毒霸的电脑,当新鬼影病毒释放程序、改写硬盘的操作均可被拦截。未安装金山毒霸的用户若已经中招,可以下载鬼影病毒专杀来解决。

图2 金山毒霸2012的K+防御可拦截新鬼影病毒

下载地址:http://www.duba.net/zhuansha/264.shtml

本文来源:华军资讯 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行