前幾天,壹直聽壹個名詞“MBR-rootkit”,壹種病毒可以利用這種技術將其放在mbr(磁盤引導記錄),讓妳pass不了它
先來看壹段Description :
2010年3月15日,某安全實驗室捕獲壹種被命名為“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),病毒釋放的驅動程序,能夠破壞大多數安全工具和系統輔助工具。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裏找不到任何異常。即使格式化重裝系統,也無法將該病毒清除。
看該病毒是如果工作的:
、鬼影病毒母體運行後,會釋放兩個驅動到用戶電腦中,並加載。和母體病毒捆綁在壹起其它流氓軟件會修改桌面快捷方式,嘗試修改IE屬性。
分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標,便於病毒的真正母體隱藏得更好。
2、a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
分析:由於WinXP系統的限制,壹般手法改寫MBR會被系統判定為非法,這種繞過Winxp的安全限制,直接改寫MBR的技術壹般稱之為MBR- rootkit。
3、病毒母體自刪除。
4、重啟系統後,主引導記錄(MBR)中的惡意代碼會監控整個windows啟動過程,發現系統加載ntldr文件時,插入惡意代碼,使其加載b驅動。
分析:將病毒代碼插入到ntldr文件中,解決自身代碼在WINDOWS下的加載問題,比寫個中斷服務程序要簡便。該思路也為真正的BIOS病毒提供了壹個非常好的實現方法。
5、b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
6、b驅動會下載av終結者到電腦中,並運行。
7、下載的av終結者病毒會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。
8、該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。
在看看如何防範:
最重要的是做好MBR的備份,以備不時之需。
鬼影病毒的清除
鬼影病毒采用的是MBR-rootkit,這在DOS時代就已有了,只是近年來很少出現。清除方法就是修復MBR,有以下幾種方法(註:壹般ghost系統盤裏都有DOS工具箱):
方法1、MBR有做過備份的,直接還原MBR備份即可;
方法2、MBR沒做過備份的,用XP系統安裝盤進入故障恢復控制臺,在命令提示符下輸入Fixmbr,然後系統提示是否更新MBR主引導記錄,選擇是,並且再輸入Fixboot,修復boot區引導即可;
方法3、DOS引導盤啟動,運行磁盤分區命令 fdisk /mbr 重建MBR代碼;
註意:有些病毒可能會使得分區表和指針出現偏移,此時使用fdisk /mbr命令,指向分區表的指針會丟失,這樣的結果是,引導能力丟失,無法啟動系統。
方法4、用 DEBUG程序來運行以下代碼,將MRB清零,再重新分區
a
MOV AX,0301
MOV BX,1000
MOV CX,1
MOV DX,80
INT 13
INT 3
-
F 1000 FFFF 0
-
G
-
Q
修復MBR後,記得進行殺毒。
在看看什麽叫MBR以及rootkit
MBR(Master Boot Record)
中文意為主引導記錄。電腦通電開機,主板自檢完成後,被第壹個讀取到的位置。位於硬盤的0磁頭0磁道1扇區,它的大小是512字節,不屬於任何壹個操作系統,也不能用操作系統提供的磁盤操作命令來讀取。DOS時代泛濫成災的引導區病毒多寄生於此。
Rootkit是指其主要功能為隱藏其他程式進程的軟件,可能是壹個或壹個以上的軟件組合;
電腦系統開機過程
開機通電自檢-->主板BIOS根據用戶指定的啟動順序從軟盤、硬盤或光驅進行啟動-->系統BIOS將主引導記錄(MBR)讀入內存 -->控制權交給主引導程序-->檢查分區表狀態,尋找活動的分區-->主引導程序將控制權交給活動分區的引導記錄,由引導記錄加載操作系統啟動文件。