MBR-rootkit----新的病毒如果大众化该技术会怎么办?
前几天,一直听一个名词“MBR-rootkit”,一种病毒可以利用这种技术将其放在mbr(磁盘引导记录),让你pass不了它
先来看一段Description :
2010年3月15日,某安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),病毒释放的驱动程序,能够破坏大多数安全工具和系统辅助工具。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常。即使格式化重装系统,也无法将该病毒清除。
看该病毒是如果工作的:
、鬼影病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好。
2、a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
分析:由于WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR- rootkit。
3、病毒母体自删除。
4、重启系统后,主引导记录(MBR)中的恶意代码会监控整个windows启动过程,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
分析:将病毒代码插入到ntldr文件中,解决自身代码在WINDOWS下的加载问题,比写个中断服务程序要简便。该思路也为真正的BIOS病毒提供了一个非常好的实现方法。
5、b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6、b驱动会下载av终结者到电脑中,并运行。
7、下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。
8、该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。
在看看如何防范:
最重要的是做好MBR的备份,以备不时之需。
鬼影病毒的清除
鬼影病毒采用的是MBR-rootkit,这在DOS时代就已有了,只是近年来很少出现。清除方法就是修复MBR,有以下几种方法(注:一般ghost系统盘里都有DOS工具箱):
方法1、MBR有做过备份的,直接还原MBR备份即可;
方法2、MBR没做过备份的,用XP系统安装盘进入故障恢复控制台,在命令提示符下输入Fixmbr,然后系统提示是否更新MBR主引导记录,选择是,并且再输入Fixboot,修复boot区引导即可;
方法3、DOS引导盘启动,运行磁盘分区命令 fdisk /mbr 重建MBR代码;
注意:有些病毒可能会使得分区表和指针出现偏移,此时使用fdisk /mbr命令,指向分区表的指针会丢失,这样的结果是,引导能力丢失,无法启动系统。
方法4、用 DEBUG程序来运行以下代码,将MRB清零,再重新分区
a
MOV AX,0301
MOV BX,1000
MOV CX,1
MOV DX,80
INT 13
INT 3
-
F 1000 FFFF 0
-
G
-
Q
修复MBR后,记得进行杀毒。
在看看什么叫MBR以及rootkit
MBR(Master Boot Record)
中文意为主引导记录。电脑通电开机,主板自检完成后,被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区,它的大小是512字节,不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
Rootkit是指其主要功能为隐藏其他程式进程的软件,可能是一个或一个以上的软件组合;
电脑系统开机过程
开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存 -->控制权交给主引导程序-->检查分区表状态,寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统启动文件。