国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现了感染操作系统磁盘主引导记录区(MBR)的恶意木马程序新变种。
据介绍,该变种运行后,会修改受感染操作系统的磁盘主引导扇区代码中的内存拷贝参数,随后在主引导区调用和执行恶意代码指令,最终导致变种程序文件在系统启动过程中优先于系统中其他应用程序(包括防病毒软件在内)而直接加载到操作系统内存中运行。因此变种的隐藏能力更强,加大了操作系统中防病毒软件自动查杀变种的难度。
与先前出现的恶意木马程序不同,该变种会在感染操作系统磁盘主引导区后,不直接将恶意代码放置到主引导扇区中,而是将其放置到主引导扇区之后的其他随机扇区。
由于变种采用了特殊方法将恶意代码隐藏于受感染操作系统中,并且会直接将恶意代码写入操作系统引导区所在分区未使用的磁盘空间中,所以使得计算机用户利用一些磁盘工具无法找到恶意代码所在的磁盘区域。因此变种更具有一定的隐蔽性。
操作系统受到该变种感染后,会表现出以下主要症状:1、操作系统运行速度缓慢,系统中防病毒软件无法正常被打开,同时发现重装操作系统后木马程序会依然存在系统中,无法被清除;2、进程管理器中出现一个指向指定Web网站的浏览器IE进程;3、迫使受感染的操作系统主动链接访问互联网络中指定的Web服务器,下载其他木马、病毒等恶意程序。
专家建议,已经感染该变种的计算机用户应格式化操作系统的系统磁盘后,先用DOS命令fdisk/mbr清除掉操作系统主引导记录区的木马程序引导代码后,再重新安装操作系统。未感染的用户需打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。