-
-
[原创]小心恶意改写硬盘分区的破坏性病毒
-
发表于: 2019-2-20 10:43
-
腾讯安全御见威胁情报中心发现一个伪装成“小智辅助”(游戏外挂)的病毒,该病毒是恶意改写磁盘分区的破坏性病毒,一旦运行成功,会导致电脑无法正常启动。目前该病毒木马除了会导致机器无法正常启动外,并没有其他功能。
图1 感染病毒重启后电脑无法启动
病毒运行后会将磁盘第一扇区的数据备份到第三扇区,随后用病毒代码覆盖MBR(主引导记录)的启动代码,最后调用命令行shutdown -r -t 0 重启系统,系统重启后会立刻无法开机。
病毒MBR启动代码中内置了解锁密码为222222,但是输入后也无法正常启动机器。可以认为,这个恶意破坏磁盘分区的病毒可能是初级病毒作者的“作业练习”。腾讯电脑管家内置的MBR保护功能可以阻止该病毒的破坏,只要不关闭退出电脑管家,病毒的破坏功能就不能得逞。
图2 腾讯电脑管家会阻止病毒修改磁盘主引导记录
图3 病毒改写mbr启动代码
图4 被篡改后的MBR
安全建议:
1.用户宜养成良好的上网习惯,不下载运行盗版软件、外挂工具、系统激活工具等软件;
2.腾讯电脑管家可拦截查杀该病毒,保持杀毒软件运行,勿轻信他人退出杀毒软件;
图5 腾讯电脑管家可以拦截
3.对于已经中毒电脑无法启动的用户,可以用U盘启动工具进Winpe环境,再使用数据恢复软件重建分区,以恢复系统,如果直接覆盖重装系统会因原来的分区信息被破坏而导致数据丢失。
IOCs:
MD5:
2da69c52b5f48bfa03e46878b15b19bb
2605a77770e6b23c192708a7c2f665ad
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
|
|
|---|---|
|
|
|
|
|
|
|
|
还真的有不少主板出厂默认是CSM的。现在带ROM的板卡厂商还都是Legacy Option ROM+UEFI混合的。 笔记本的话,出厂装Win7的那批还是CSM的。 要想彻底灭了Legacy,2020年以后再说吧。Intel的板子2020以后没有CSM了,但是别的兼容主板厂商还真的不见得能把CSM灭了。 除非Win10某个版本强制UEFI Only,否则这个过渡还是要相当长的时间的。
最后于 2019-2-20 22:04
被Morgion编辑
,原因:
|
|
|
|
|
|
|
|
|
https://bbs.kafan.cn/thread-2141625-1-1.html, UEFI +GPT一样可以被搞破坏。 |
hzqst
