upside
 
   
  
 反病毒 反诈骗 反虐犬
|
分享:
▼
x0
|
10年后的又一个写入主引导区的恶意程序
说这个东西前,先介绍一下什么是主引导区
主引导扇区位于整个硬盘的0磁道0柱面1扇区,包括硬盘主引导记录MBR(Main Boot Record)和分区表DPT(Disk Partition Table)。其中主引导记录的作用就是检查分区表是否正确以及确定哪个分区为引导分区,并在程序结束时把该分区的启动程序(也就是操作系统引导扇区)调入内存加以执行。
从这个主引导区的特性我们可知,只要控制了该区域,那程序就能控制操作系统!
修改主引导区进行加载、感染的在上世纪8-90年代较为流行,一些年长一点的朋友可能还会记得当年的反病毒软件很多都是磁盘介质的,而其中一个必不可少的功能,就是能写保护软盘然后用它引导启动电脑,在不带毒的情况下清除此类引导型的病毒。应该说早期的病毒技术含量还是比较高的,到了后期越来越多工具的出现,让只要会上网的人都能产生成百上千的各种恶意程序、病毒变种。值得注意的是在上一个引导型病毒面试接近10年后的今天,同样利用修改覆盖主引导区进行加载的Rootkit后门也现世了。
国外的研究人员分别在2005和2007年推出过两个修改主引导区的实验型Rootkit,而07年的这个实验型Rootkit甚至能突破安全性较高的全补丁Vista系统。
由于WINDOWS系统设计上的问题,普通权限的用户帐号可以随意读写硬盘,甚至MBR这些重要的位置而不受到任何限制。因此MBR类Rootkit对系统的危害是十分大的。
有些类型的主板BIOS自带一个反病毒功能,就是防止读写主引导区的,随着这类真正具有危害的MBR Rootkit的出现,也许现在大家应该在BIOS里打开这种保护选项了。
根据Symantec的报告,这个Rootkit被命名为Trojan.Mebroot 能在全补丁的XP系统下顺利感染并加载运行。同时因为MBR的特性,Rootkit在加载后是无法清除的,必须用其他如PE光盘系统或XP安装光盘的修复模式下用Fix mbr指令来修复主引导区,才能清除木马。
|
