9月2日,金山安全中心捕獲鬼影病毒最新變種,該變種會改寫特定型號的主板BIOS芯片。若改寫成功,鬼影病毒破壞的MBR(硬盤主引導記錄)就被保護,殺毒軟件修復受損MBR的操作會失敗。中毒電腦就算格式化硬盤,也不能清除病毒,金山毒霸可完整清除。
新鬼影病毒主要通過假冒游戲外掛和電影播放器傳播,其主要攻擊目標是游戲玩家和在線看視頻的網民。中毒後的主要表現是主頁被鎖定為www.my2345.cc,殺毒軟件反復報毒(因病毒母體會下載盜號木馬)。即使格式化重裝,這些現象依舊不能解決。
新鬼影病毒可以改寫特定型號主板BIOS,這很容易讓人聯想到Windows 95時代流行的CIH病毒,當時有殺毒廠商稱CIH病毒可以破壞硬件。中毒後的電腦將完全黑屏,不能啟動。
新鬼影病毒的目的和CIH完全不同,CIH是以破壞系統為主,而新鬼影則是以賺錢為主,不會破壞系統,中毒電腦不會出現黑屏和分區受損。其主要目的是為導航站帶流量,再下載更多木馬或木馬下載器,推廣其他病毒或軟件。
新鬼影病毒先判定當前系統主板BIOS是否為Award BIOS,然後再查找SMI端口,寫入新的BIOS內容,其目的是保護硬盤MBR(主引導記錄)被其他程序改寫。這樣就造成殺毒軟件或一些磁盤編輯工具無法查看或編輯主板MBR信息,從而使病毒難以清除。
圖1 新鬼影病毒改寫BIOS的代碼
“從這個病毒的源代碼分析,其字符串加密手法和以前的鬼影病毒有很多相似之處,分析師初步判斷該病毒和老鬼影病毒是一個團伙所為。”9月1日,兩高院司法解釋強化了對病毒集團的打擊力度。金山安全專家指出,“這些作惡的病毒集團終將受到法律嚴懲。”
金山毒霸2012內置的K+行為防御可以完美保護安裝了金山毒霸的電腦,當新鬼影病毒釋放程序、改寫硬盤的操作均可被攔截。未安裝金山毒霸的用戶若已經中招,可以下載鬼影病毒專殺來解決。下載地址:http://www.duba.net/zhuansha/264.shtml
圖2 金山毒霸2012的K+防御可攔截新鬼影病毒