金山毒霸：新鬼影病毒學(xué)CIH改寫主板BIOS

9月2日，金山安全中心捕獲鬼影病毒最新變種，該變種會改寫特定型號的主板BIOS芯片。若改寫成功，鬼影病毒破壞的MBR(硬盤主引導(dǎo)記錄)就被保護(hù)，殺毒軟件修復(fù)受損MBR的操作會失敗。中毒電腦就算格式化硬盤，也不能清除病毒，金山毒霸可完整清除。

新鬼影病毒主要通過假冒游戲外掛和電影播放器傳播，其主要攻擊目標(biāo)是游戲玩家和在線看視頻的網(wǎng)民。中毒后的主要表現(xiàn)是主頁被鎖定為www.my2345.cc，殺毒軟件反復(fù)報毒(因病毒母體會下載盜號木馬)。即使格式化重裝，這些現(xiàn)象依舊不能解決。

新鬼影病毒可以改寫特定型號主板BIOS，這很容易讓人聯(lián)想到Windows 95時代流行的CIH病毒，當(dāng)時有殺毒廠商稱CIH病毒可以破壞硬件。中毒后的電腦將完全黑屏，不能啟動。

新鬼影病毒的目的和CIH完全不同，CIH是以破壞系統(tǒng)為主，而新鬼影則是以賺錢為主，不會破壞系統(tǒng)，中毒電腦不會出現(xiàn)黑屏和分區(qū)受損。其主要目的是為導(dǎo)航站帶流量，再下載更多木馬或木馬下載器，推廣其他病毒或軟件。

新鬼影病毒先判定當(dāng)前系統(tǒng)主板BIOS是否為Award BIOS，然后再查找SMI端口，寫入新的BIOS內(nèi)容，其目的是保護(hù)硬盤MBR(主引導(dǎo)記錄)被其他程序改寫。這樣就造成殺毒軟件或一些磁盤編輯工具無法查看或編輯主板MBR信息，從而使病毒難以清除。

“從這個病毒的源代碼分析，其字符串加密手法和以前的鬼影病毒有很多相似之處，分析師初步判斷該病毒和老鬼影病毒是一個團(tuán)伙所為。”9月1日，兩高院司法解釋強(qiáng)化了對病毒集團(tuán)的打擊力度。金山安全專家指出，“這些作惡的病毒集團(tuán)終將受到法律嚴(yán)懲。”

金山毒霸2012內(nèi)置的K+行為防御可以完美保護(hù)安裝了金山毒霸的電腦，當(dāng)新鬼影病毒釋放程序、改寫硬盤的操作均可被攔截。未安裝金山毒霸的用戶若已經(jīng)中招，可以下載鬼影病毒專殺來解決。下載地址：http://www.duba.net/zhuansha/264.shtml