|
BMW病毒技能深入说明
BMW病毒可以或许连环传染BIOS(主板芯片措施)、MBR(硬盘主引导区)和Windows体系文件,使受害电脑无论重装体系、名目化硬盘,照旧换掉硬盘都无法彻底破除病毒。
一、BMW病毒BIOS部门
增进了ISA模块BIOS部门,名为HOOK.ROM,浸染首要是检测MBR部门是否被规复。假如发明MBR部门已被修复,就将BIOS内的病毒代码约 14个扇区写入MBR中,导致用户重复名目化、高格低格,或从头分区都无效。
二、BMW病毒MBR部门
MBR部门病毒代码执行后,会从第2个扇区开始读6个扇区的病毒代码到0X7C00处,然后跳至该处执行,然后读取第7个扇区中的备份 MBR到内存中,验证扇区的有用性;
通过验证后,读取分区表中的引导扇区地址的扇区到 0X7C00处,验证引导分区的有用性;
通过验证后,判定引导分区的范例,今朝该病毒支持NTFS和 FAT32,按照差异的分区范例举办差异的处理赏罚,再颠末理会文件体系找到文件地址扇区,找到响应的Windows体系文件读取PE信息判定其是否被传染过。(XP/2003体系为Winlogon.exe,Win7/Vista体系为Wininit.exe)
假如Windows体系文件已被传染,则在屏幕上表现"Find it OK!",然后调入原始MBR,跳到原始MBR处执行;假如Windows体系文件没有被传染,则举办PE传染写扇区,之后在屏幕上表现"Find it OK!",然后调入原始MBR,跳到原始MBR处执行。
三、BMW病毒Windows部门(Winlogon和Wininit文件执行传染)
以Winlogon.exe为例举办声名:
因为病毒修改了该文件进口点,当文件执行时起首执行加密过的病毒代码,运行时动态解码。
病毒代码解密后加载指定文件,建设病毒挪用CreateThread建设线程,同时跳回原始进口点执行。
在病毒线程里先Sleep10秒,然后挪用URLDownloadToFileA从黑客处事器下载一个Downloader到当地,验证文件下载乐成后,挪用WinExec执行,从而下载运行多种恶意措施;该病毒还会下载驱动,定名为c:my.sys,由之前的病毒代码通过一系列处事函数来建设加载驱动,完成后该病毒线程进入无穷Sleep状态。
c:my.sys 这个磁盘钩子驱动,会在WINLOGON的传染代码里被加载。驱动对 磁盘类驱动disk.sys 举办READ, WRITE ,DEVICEIOCONTROL , 的DISPTACH 举办 hook,防备MBR及相干病毒扇区部门被读取 ,今朝看来360开机的时辰不必然能拦截驱动的加载,没测试金山是否能拦截。假如驱动被加载,也许导致,无法读取MBR里的数据。以是必要进施舍箱强力模式下,干掉那驱动后重启后,用专杀检测才行。
尚有确保 winlogon被修复了。着实只要修复被传染的winlogon,也可以,由于病毒的全部焦点代码都在传染的 winglon里,假如修复了他,同时保持病毒的传染符号,则纵然不修复MBR,和bios 也毫无影响。由于MBR里检测传染符号的时辰,发明符号存在的时辰,就直接去乐呵呵的表现 Find it OK!了 (编辑:湖南网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
