金山毒霸:新鬼影病毒学CIH改写主板BIOS
9月2日,金山安全中心捕获鬼影病毒最新变种,该变种会改写特定型号的主板BIOS芯片。若改写成功,鬼影病毒破坏的MBR(硬盘主引导记录)就被保护,杀毒软件修复受损MBR的操作会失败。中毒电脑就算格式化硬盘,也不能清除病毒,金山毒霸可完整清除。
新鬼影病毒主要通过假冒游戏外挂和电影播放器传播,其主要攻击目标是游戏玩家和在线看视频的网民。中毒后的主要表现是主页被锁定为www.my2345.cc,杀毒软件反复报毒(因病毒母体会下载盗号木马)。即使格式化重装,这些现象依旧不能解决。
新鬼影病毒可以改写特定型号主板BIOS,这很容易让人联想到Windows 95时代流行的CIH病毒,当时有杀毒厂商称CIH病毒可以破坏硬件。中毒后的电脑将完全黑屏,不能启动。
新鬼影病毒的目的和CIH完全不同,CIH是以破坏系统为主,而新鬼影则是以赚钱为主,不会破坏系统,中毒电脑不会出现黑屏和分区受损。其主要目的是为导航站带流量,再下载更多木马或木马下载器,推广其他病毒或软件。
新鬼影病毒先判定当前系统主板BIOS是否为Award BIOS,然后再查找SMI端口,写入新的BIOS内容,其目的是保护硬盘MBR(主引导记录)被其他程序改写。这样就造成杀毒软件或一些磁盘编辑工具无法查看或编辑主板MBR信息,从而使病毒难以清除。
图1 新鬼影病毒改写BIOS的代码
“从这个病毒的源代码分析,其字符串加密手法和以前的鬼影病毒有很多相似之处,分析师初步判断该病毒和老鬼影病毒是一个团伙所为。”9月1日,两高院司法解释强化了对病毒集团的打击力度。金山安全专家指出,“这些作恶的病毒集团终将受到法律严惩。”
金山毒霸2012内置的K+行为防御可以完美保护安装了金山毒霸的电脑,当新鬼影病毒释放程序、改写硬盘的操作均可被拦截。未安装金山毒霸的用户若已经中招,可以下载鬼影病毒专杀来解决。下载地址:http://www.duba.net/zhuansha/264.shtml
图2 金山毒霸2012的K+防御可拦截新鬼影病毒