病毒预报 (2010.5.8-2010.5.14)

来源:发布时间:2010-05-17访问次数:260

国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了感染操作系统磁盘主引导记录区(MBR)的恶意木马程序新变种。

    该变种运行后,会修改受感染操作系统的磁盘主引导扇区代码中的内存拷贝参数,随后在主引导区内调用和执行恶意代码指令。最终导致变种程序文件在系统启动过程中优先于系统中其他应用程序(包括防病毒软件在内)而直接加载到操作系统内存中运行,因此变种的隐藏能力更强,加大了操作系统中防病毒软件自动查杀变种的难度。

    先前出现的恶意木马程序会将磁盘主引导区的原代码拷贝到下一个扇区,并用恶意代码替换原磁盘主引导区中的代码。然而,该变种会在感染操作系统磁盘主引导区后,不直接将恶意代码放置到主引导扇区中,而是将其放置到主引导扇区之后的其他随机扇区。

    与此同时,由于变种采用了特殊方法将恶意代码隐藏于受感染操作系统中,并且会直接将恶意代码写入操作系统引导区所在分区未使用的磁盘空间中,所以使得计算机用户利用一些磁盘工具无法找到恶意代码所在的磁盘区域。因此变种更具有一定的隐蔽性。

    另外,操作系统受到该变种感染后,会表现出以下主要症状:

    1、操作系统运行速度缓慢,系统中防病毒软件无法正常被打开,同时发现重装操作系统后木马程序会依然存在系统中,无法被清除;

    2、进程管理器中出现一个指向指定Web网站的浏览器IE进程;

    3、迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器,下载其他木马、病毒等恶意程序。

  
专家提醒:

    针对该变种,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:

    (一)针对已经感染该变种的计算机用户,我们建议格式化操作系统的系统磁盘后,先用 DOS命令fdisk/mbr清除掉操作系统主引导记录区的木马程序引导代码后,再重新安装操作系统就可以。

    (二)针对未感染该变种的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。

















 

 

国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址:Http://www.antivirus-China.org.cn
电  话:022-66211488/66211489/66211490 
传  真:022-66211
155 
电子邮件:sos@antivirus-China.org.cn
         contact@antivirus-china.org.cn

 

分享:

© 2023 版权所有:河海大学网络安全与信息化办公室 版权所有

地址:江苏省南京市西康路1号 反馈邮箱:xxzxzhb@hhu.edu.cn 苏ICP备12023610号 网站管理

河海大学微门户

河海大学微门户

河海大学移动办公

河海大学移动办公

河海网信办微信公众号

河海网信办微信公众号