upside
 
   
  
 反病毒 反詐騙 反虐犬
|
分享:
▼
x0
|
10年後的又一個寫入主引導區的惡意程序
說這個東西前,先介紹一下什麽是主引導區
主引導扇區位於整個硬盤的0磁道0柱面1扇區,包括硬盤主引導記錄MBR(Main Boot Record)和分區表DPT(Disk Partition Table)。其中主引導記錄的作用就是檢查分區表是否正確以及確定哪個分區爲引導分區,並在程序結束時把該分區的啓動程序(也就是操作係統引導扇區)調入內存加以執行。
從這個主引導區的特性我們可知,只要控制了該區域,那程序就能控制操作係統!
修改主引導區進行加載、感染的在上世紀8-90年代較爲流行,一些年長一點的朋友可能還會記得當年的反病毒軟件很多都是磁盤介質的,而其中一個必不可少的功能,就是能寫保護軟盤然後用它引導啓動電腦,在不帶毒的情況下清除此類引導型的病毒。應該說早期的病毒技術含量還是比較高的,到了後期越來越多工具的出現,讓只要會上網的人都能産生成百上千的各種惡意程序、病毒變種。值得注意的是在上一個引導型病毒面試接近10年後的今天,同樣利用修改覆蓋主引導區進行加載的Rootkit後門也現世了。
國外的研究人員分別在2005和2007年推出過兩個修改主引導區的實驗型Rootkit,而07年的這個實驗型Rootkit甚至能突破安全性較高的全補丁Vista係統。
由於WINDOWS係統設計上的問題,普通權限的用戶帳號可以隨意讀寫硬盤,甚至MBR這些重要的位置而不受到任何限制。因此MBR類Rootkit對係統的危害是十分大的。
有些類型的主板BIOS自帶一個反病毒功能,就是防止讀寫主引導區的,隨著這類真正具有危害的MBR Rootkit的出現,也許現在大家應該在BIOS裏打開這種保護選項了。
根據Symantec的報告,這個Rootkit被命名爲Trojan.Mebroot 能在全補丁的XP係統下順利感染並加載運行。同時因爲MBR的特性,Rootkit在加載後是無法清除的,必須用其他如PE光盤係統或XP安裝光盤的修複模式下用Fix mbr指令來修複主引導區,才能清除木馬。
|
