廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 1895 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 10年後的又一個寫入主引導區的惡意程序
10年後的又一個寫入主引導區的惡意程序

說這個東西前,先介紹一下什麽是主引導區

主引導扇區位於整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區爲引導分區,並在程序結束時把該分區的啓動程序(也就是操作係統引導扇區)調入內存加以執行。

從這個主引導區的特性我們可知,只要控制了該區域,那程序就能控制操作係統!

修改主引導區進行加載、感染的在上世紀8-90年代較爲流行,一些年長一點的朋友可能還會記得當年的反病毒軟件很多都是磁盤介質的,而其中一個必不可少的功能,就是能寫保護軟盤然後用它引導啓動電腦,在不帶毒的情況下清除此類引導型的病毒。應該說早期的病毒技術含量還是比較高的,到了後期越來越多工具的出現,讓只要會上網的人都能産生成百上千的各種惡意程序、病毒變種。值得注意的是在上一個引導型病毒面試接近10年後的今天,同樣利用修改覆蓋主引導區進行加載的Rootkit後門也現世了。

國外的研究人員分別在2005和2007年推出過兩個修改主引導區的實驗型Rootkit,而07年的這個實驗型Rootkit甚至能突破安全性較高的全補丁Vista係統。

由於WINDOWS係統設計上的問題,普通權限的用戶帳號可以隨意讀寫硬盤,甚至MBR這些重要的位置而不受到任何限制。因此MBR類Rootkit對係統的危害是十分大的。

有些類型的主板BIOS自帶一個反病毒功能,就是防止讀寫主引導區的,隨著這類真正具有危害的MBR Rootkit的出現,也許現在大家應該在BIOS裏打開這種保護選項了。

根據Symantec的報告,這個Rootkit被命名爲Trojan.Mebroot 能在全補丁的XP係統下順利感染並加載運行。同時因爲MBR的特性,Rootkit在加載後是無法清除的,必須用其他如PE光盤係統或XP安裝光盤的修複模式下用Fix mbr指令來修複主引導區,才能清除木馬。



爸爸 你一路好走
獻花 x0 回到頂端 [樓 主] From:臺灣和信超媒體寬帶網 | Posted:2008-01-11 12:52 |
yuan2626
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x18
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

看起來相當可怕ㄝ
如果連硬碟的MBR都會受感染
那更不要講作業系統了
微軟的平台真的很脆弱阿


獻花 x0 回到頂端 [1 樓] From:APNIC | Posted:2008-01-11 13:09 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.054048 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言