新華社天津5月9日專電(記者張建新)國家計算機病毒應急處理中心通過對互聯網的監測發現,近期出現了感染操作系統磁盤主引導記錄區(MBR)的惡意木馬程序新變種。
據介紹,該變種運行後,會修改受感染操作系統的磁盤主引導扇區代碼中的內存拷貝參數,隨後在主引導區調用和執行惡意代碼指令,最終導致變種程序文件在系統啟動過程中優先於系統中其他應用程序(包括防病毒軟體在內)而直接加載到操作系統內存中運行。因此變種的隱藏能力更強,加大了操作系統中防病毒軟體自動查殺變種的難度。
與先前出現的惡意木馬程序不同,該變種會在感染操作系統磁盤主引導區後,不直接將惡意代碼放置到主引導扇區中,而是將其放置到主引導扇區之後的其他隨機扇區。
由於變種採用了特殊方法將惡意代碼隱藏于受感染操作系統中,並且會直接將惡意代碼寫入操作系統引導區所在分區未使用的磁盤空間中,所以使得計算機用戶利用一些磁盤工具無法找到惡意代碼所在的磁盤區域。因此變種更具有一定的隱蔽性。
操作系統受到該變種感染後,會表現出以下主要症狀:1、操作系統運行速度緩慢,系統中防病毒軟體無法正常被打開,同時發現重裝操作系統後木馬程序會依然存在系統中,無法被清除;2、進程管理器中出現一個指向指定Web網站的瀏覽器IE進程;3、迫使受感染的操作系統主動鏈結訪問互聯網絡中指定的Web服務器,下載其他木馬、病毒等惡意程序。
專家建議,已經感染該變種的計算機用戶應格式化操作系統的系統磁盤後,先用DOS命令fdisk/mbr清除掉操作系統主引導記錄區的木馬程序引導代碼後,再重新安裝操作系統。未感染的用戶需打開系統中防病毒軟體的“系統監控”功能,從註冊表、系統進程、內存、網絡等多方面對各種操作進行主動防禦。