金山毒霸：新鬼影病毒學CIH改寫主板BIOS

　　9月2日，金山安全中心捕獲鬼影病毒最新變種，該變種會改寫特定型號的主板BIOS芯片。若改寫成功，鬼影病毒破壞的MBR(硬盤主引導記錄)就被保護，殺毒軟件修復受損MBR的操作會失敗。中毒電腦就算格式化硬盤，也不能清除病毒，金山毒霸可完整清除。

　　新鬼影病毒主要通過假冒游戲外掛和電影播放器傳播，其主要攻擊目標是游戲玩家和在線看視頻的網民。中毒後的主要表現是主頁被鎖定為www.my2345.cc，殺毒軟件反復報毒(因病毒母體會下載盜號木馬)。即使格式化重裝，這些現象依舊不能解決。

　　新鬼影病毒可以改寫特定型號主板BIOS，這很容易讓人聯想到Windows 95時代流行的CIH病毒，當時有殺毒廠商稱CIH病毒可以破壞硬件。中毒後的電腦將完全黑屏，不能啟動。

　　新鬼影病毒的目的和CIH完全不同，CIH是以破壞系統為主，而新鬼影則是以賺錢為主，不會破壞系統，中毒電腦不會出現黑屏和分區受損。其主要目的是為導航站帶流量，再下載更多木馬或木馬下載器，推廣其他病毒或軟件。

　　新鬼影病毒先判定當前系統主板BIOS是否為Award BIOS，然後再查找SMI端口，寫入新的BIOS內容，其目的是保護硬盤MBR(主引導記錄)被其他程序改寫。這樣就造成殺毒軟件或一些磁盤編輯工具無法查看或編輯主板MBR信息，從而使病毒難以清除。

　　圖1 新鬼影病毒改寫BIOS的代碼

　　“從這個病毒的源代碼分析，其字符串加密手法和以前的鬼影病毒有很多相似之處，分析師初步判斷該病毒和老鬼影病毒是一個團伙所為。”9月1日，兩高院司法解釋強化了對病毒集團的打擊力度。金山安全專家指出，“這些作惡的病毒集團終將受到法律嚴懲。”

　　金山毒霸2012內置的K+行為防御可以完美保護安裝了金山毒霸的電腦，當新鬼影病毒釋放程序、改寫硬盤的操作均可被攔截。未安裝金山毒霸的用戶若已經中招，可以下載鬼影病毒專殺來解決。下載地址：http://www.duba.net/zhuansha/264.shtml

　　圖2 金山毒霸2012的K+防御可攔截新鬼影病毒