標籤: 暫無標籤

引導型病毒是一種在ROM BIOS之後,系統引導時出現的病毒,它先於操作系統,依託的環境是BIOS中斷服務程序。引導型病毒是利用操作系統的引導模塊放在某個固定的位置,並且控制權的轉交方式是以物理位置為依據,而不是以操作系統引導區的內容為依據,因而病毒佔據該物理位置即可獲得控制權,而將真正的引導區內容搬家轉移或替換,待病毒程序執行后,將控制權交給真正的引導區內容,使得這個帶病毒的系統看似正常運轉,而病毒已隱藏在系統中並伺機傳染、發作。

引導區病毒的傳播方式:
下面主要說一下目前傳播最為廣泛的引導區病毒WYX。這個病毒傳播的唯一途徑就是使用感染有該病毒的啟動盤(包含可啟動的光碟)啟動計算機。如果只是讀取感染有引導區病毒的軟盤或者光碟上的文件是不會被感染。
如果你的機器已經感染該病毒,並且病毒駐留了內存,則你的軟盤如果沒有防寫的話很容易被感染。
WYX病毒的清除
當你的殺毒軟體查出了機器感染了WYX的時候請不要驚慌,先要看清楚該文件的感染位置。
如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那麼直接刪除即可。 其實,這是硬碟引導區先染上了引導區病毒,以後在安裝WINDOWS系統時,沒有先查殺病毒,直接就安裝了WINDOWS系統。所以,WINDOWS先將引導區做了一個文件形式的備份,文件SUHDLOG.DAT就是其備份,該文件以隱含的形式存放在WINDOWS系統根目錄下,由於該引導型病毒存在文件中,沒有作用,所以可以直接刪除。
如果病毒只是存在於移動存儲設備(如軟盤、快閃記憶體盤、移動硬碟)上,就可以藉助本地硬碟上的反病毒軟體直接進行查殺,或者乾脆把移動存儲設備上的文件備份到硬碟上,然後重新格式化掉移動存儲設備,再把文件複製回去。
如果病毒確實是在硬碟的引導區上,也不用怕,這類病毒的清除方法很簡單,針對不同的操作系統有不同的清除方法,一般可以不依靠殺毒軟體。不過在清除之前一定要備份原來的引導區,特別是原來裝有別的操作系統的情況,如日文Windows、Linux等。
Windows 95/98/me系統上的清除方法
1.找一張「乾淨」的啟動盤(沒有這個引導區病毒的盤),啟動你的計算機,一般安裝操作系統的時候都會提示您製作啟動盤。如果您手頭沒有啟動盤或者您不能保證啟動盤是否是「乾淨」的,您可以在別的計算機上做一張乾淨的可引導盤,此引導盤可以在Windows 95/98/me系統上通過「添加/刪除程序」進行製作,但要注意的是,製作軟盤的操作系統須和自己所使用的操作系統相同,也就是說如果你的系統是Windows me的話,你是不能使用一張Windows 98的啟動盤進行下述操作的。
2.用這張軟盤引導啟動帶毒的計算機,然後運行以下命令:
A:\fdisk /mbr [回車]
A:\sys a: c: [回車]
然後重新啟動計算機就可以了。
其中第一行用於清除主引導記錄中的病毒,第二行用於清除C盤引導區上的病毒。
Windows 2000/XP系統上的清除方法:
1.如果你之前通過X:\i386\winnt32.exe /cmdcons命令安裝了恢復控制台可以直接選擇進入。如果以前沒有安裝過恢復控制台則要使用系統的安裝光碟啟動計算機。當出現安裝界面的時候按R選擇「要用『恢復控制台』修復」。系統會提示你登入到哪個系統,請輸入相應的序號然後按回車。
2.然後分別執行fixmbr(恢復主引導記錄)和fixboot(恢復啟動盤上的引導區),再輸入EXIT[回車],重新啟動即可。
清除引導區病毒的注意事項:
1.如果用乾淨的啟動盤啟動計算機以後發現不能訪問硬碟,而且硬碟不是NTFS格式,但是用硬碟啟動計算機以後可以訪問硬碟,則說明你的機器感染了可以加密引導區信息的病毒,此時看到的是加密的信息,比如前面提到的「Monkey(猴子)」病毒。遇到這種病毒時你應該讓系統自己引導計算機,讓病毒自己解密,然後用殺毒軟體備份引導區的信息(目前國產的三大殺毒軟體都有此功能),然後再用乾淨的啟動盤啟動計算機,把剛剛備份出來的引導區信息再寫回硬碟就可以了。
2.如果你的機器被病毒感染無法啟動,且用軟盤引導也看不到硬碟(硬碟不是NTFS分區)則最好不要對硬碟進行寫操作,應該找有經驗的人員來幫您解決,以免造成不必要的損失。
如何防範引導區病毒:
前面已經提到,引導區病毒只有用染有病毒的軟盤或光碟啟動計算機的時候才會感染,所以養成良好的習慣是防範這種病毒的關鍵:對不明來路的軟盤使用前應該先查毒;不用計算機的時候不要把軟盤、光碟留在驅動器里(許多機器感染這個病毒都是由於用了帶有病毒的可引導光碟啟動計算機所造成的);另外,最好在主板的設置里把防病毒一項打開。
上一篇[rundl132.exe]  

相關評論

同義詞:暫無同義詞