對於CIH病毒,從剛開始接觸電腦就聽說過,從未所見!今天終於遇到了個類似CIH的BIOS型病毒!那些修改主引導記錄的病毒都弱爆了!鑑定為:BMW病毒,為鬼影的變種版本。
開機提示
BIOS裡ISA模塊被替換
把BIOS程序讀出來和官網文件進行對比!
左邊是原BIOS,右邊是被插入代碼的BIOS
硬盤主引導記錄已經被修改
有的朋友會說,重建主引導不就OK了?吼吼!BIOS型病毒必須重寫BIOS才能徹底清除!
既然有緣一見,咱們就徹底研究一下,今天繼續實驗!看看他到底隱藏在哪。
昨天已經備份了中毒機器的MBR,現在將它恢復到虛擬機機裡,看看會有什麼效果!
首先準備一個純淨的系統,裝好殺毒軟件!
360快速查殺沒有問題,進程數也很正常!
這個是昨天備份的含有木馬的MBR文件,現在用它替換現有的主引導記錄!
這張圖是原始正常的MBR,它只佔用了一個扇區!
從這張圖開始都是帶木馬的MBR,由於需要比較大的空間存放自身,它共佔用14個扇區!
重啟一下電腦,自檢過後的瞬間會有一個Find it OK!提示,網上資料,這是典型的BMW木馬~
360掃描結果,明顯已經中招了!
通過進程對比,它沒有開啟額外進程,而是注入了Winlogon進程!
Winlogon開始聯網了,我的目的也達到了,已經確定它的IP地址了!
PING值還很小,因為離我這很近,大連的機房,TTL250,應該是linux類的主機,這種木馬一般都是一個下載器,如果換做有xxx,應該就差不多可以“xxx了”,畢竟不是境外IP,找起來應該不費力!都有登記。
哥們,這裡就不曝光你了!
這病毒刷個bios就OK了
閱讀更多 CQ焱烙 的文章