-
-
[原创]小心恶意改写硬盘分区的破坏性病毒
-
发表于: 2019-2-20 10:43
-
腾讯安全御见威胁情报中心发现一个伪装成“小智辅助”(游戏外挂)的病毒,该病毒是恶意改写磁盘分区的破坏性病毒,一旦运行成功,会导致电脑无法正常启动。目前该病毒木马除了会导致机器无法正常启动外,并没有其他功能。
图1 感染病毒重启后电脑无法启动
病毒运行后会将磁盘第一扇区的数据备份到第三扇区,随后用病毒代码覆盖MBR(主引导记录)的启动代码,最后调用命令行shutdown -r -t 0 重启系统,系统重启后会立刻无法开机。
病毒MBR启动代码中内置了解锁密码为222222,但是输入后也无法正常启动机器。可以认为,这个恶意破坏磁盘分区的病毒可能是初级病毒作者的“作业练习”。腾讯电脑管家内置的MBR保护功能可以阻止该病毒的破坏,只要不关闭退出电脑管家,病毒的破坏功能就不能得逞。
图2 腾讯电脑管家会阻止病毒修改磁盘主引导记录
图3 病毒改写mbr启动代码
图4 被篡改后的MBR
安全建议:
1.用户宜养成良好的上网习惯,不下载运行盗版软件、外挂工具、系统激活工具等软件;
2.腾讯电脑管家可拦截查杀该病毒,保持杀毒软件运行,勿轻信他人退出杀毒软件;
图5 腾讯电脑管家可以拦截
3.对于已经中毒电脑无法启动的用户,可以用U盘启动工具进Winpe环境,再使用数据恢复软件重建分区,以恢复系统,如果直接覆盖重装系统会因原来的分区信息被破坏而导致数据丢失。
IOCs:
MD5:
2da69c52b5f48bfa03e46878b15b19bb
2605a77770e6b23c192708a7c2f665ad
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
还真的有不少主板出厂默认是CSM的。现在带ROM的板卡厂商还都是Legacy Option ROM+UEFI混合的。 笔记本的话,出厂装Win7的那批还是CSM的。 要想彻底灭了Legacy,2020年以后再说吧。Intel的板子2020以后没有CSM了,但是别的兼容主板厂商还真的不见得能把CSM灭了。 除非Win10某个版本强制UEFI Only,否则这个过渡还是要相当长的时间的。
最后于 2019-2-20 22:04
被Morgion编辑
,原因:
|
|
|
|
|
|
|
|
|
437K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1j5Y4y4Q4x3X3g2C8j5h3k6S2L8W2)9J5k6h3y4F1i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3U0p5@1x3e0j5J5y4g2)9J5k6o6q4Q4x3X3b7I4i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5b7#2)9J5y4X3&6T1M7%4m8Q4x3@1u0g2c8f1k6u0i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5b7V1N6b7g2q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4W2!0m8x3q4!0n7y4#2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4z5q4!0m8x3W2!0m8b7W2!0q4y4W2)9&6x3q4)9&6c8g2!0q4y4#2!0m8x3q4!0n7y4q4!0q4y4g2)9&6c8q4)9^5c8W2!0q4x3#2)9^5x3q4)9^5x3R3`.`. |
hzqst
