主引导区MBR病毒解决方案

原创

挥墨的书童 2012-04-05 15:33:33 ©著作权

文章标签 职场休闲 trend Micro 趋势解决方案 文章分类 运维

©著作权归作者所有：来自51CTO博客作者挥墨的书童的原创作品，请联系作者获取转载授权，否则将追究法律责任

mbr是硬盘的主引导记录，属于引导区，故可以清除，引导区它记录着一些硬盘最基本的信息，像硬盘的分区信息，这些信息可以保证你的硬盘能正常工作，但如果这些信息被修改了，那硬盘里的数据就会丢失。一般常在网上下载东东或是经常到处乱拷东东的机器最容易患引导区病毒。像CIH病毒就是利用了这一点，破坏了你的硬盘分区，使你的数据丢失。所以引导区的安全问题是相当重要的。

MBR病毒简介：

引导区病毒是PC机上最早出现的病毒，也是我国最早发现的病毒种类。这类病毒主要感染软盘的引导扇区和硬盘的引导扇区或者主引导记录。

一个正常的计算机启动过程是：计算机读取引导扇区或者主引导记录加载其进入内存中，然后引导相应的系统。而一台染有引导区病毒的机器则会先把病毒加载入内存然后才进行正常的引导过程。

现在主流的MBR病毒主要包括“鬼影”家族，魅影等，传播途径包括　1.通过某个视频专用播放器捆绑传播 2.通过网络游戏外挂捆绑病毒传播 3.通过“不良网站”提供的视频捆绑病毒

现象: 1. 系统明显变慢，打开网页很慢 2. 杀毒软件打不开了，安全相关的网页打不开了 3. 重装系统仍不能清除 4. 桌面有个垃圾图标，打开是个×××网站，无法彻底删除 5. 游戏账号被盗了至少有以上两种现象，则说明可能中了“鬼影”病毒，请下载该专杀进行检测并修复。如果检测出来不是鬼影病毒。也可以下载金山急救箱清除其他木马。注意：清除该病毒需要修改磁盘主引导记录（MBR），有一定机率导致不能引导系统。

变化过程：

“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。

解决方案：

了解它的本质之后我们如何去解决呢？

可以通过以下步骤去排除和解决：

一. 我要如何知道自己的MBR是否被感染/修改？

您可以使用趋势科技的RootkitBuster v5.0 检查自己的MBR是否被修改
下载地址： RootkitBuster
请参照下列步骤使用该工具：
1）运行RootkitBuster.exe文件
注意：
运行后工具后会自动在您需要扫描的计算机中安装一个新的TMCOMM.SYS组件.并会提示您重启计算机来完成安装.重启完成后，再次执行工具。
2）在左上方，选择您希望扫描的隐藏项类型，我们建议选择所有类型。
3）单击“scan now”按钮。
4) 扫描结束后，一个包含被发现的隐藏项的日志会在TMRBLog文件夹下生成
注意：
如果一个感染的MBR被检测，被感染与未被感染的MBR模块都被记录在TMRBLog文件夹中。
5）一旦TDL4/TDL3或类似的恶意文件被检测出，您可以选择清理被感染的系统。必须重新启动电脑来完成这个清理的动作。
6）将TMRBLog文件夹中的rootkit buster日志(TMRB00001.TXT)发送给趋势科技技术支持部门进行分析。
另一个能检测MBR被修改的工具(Trend Micro Rescue Disk)即将发布.除了检测病毒之外，这个工具可以恢复以前的备份的MBR及清除TDL与Popureb病毒的感染感染。
二.MBR（主引导扇区）被感染对电脑有什么影响？
当前 MBR 病毒一个共同的趋势就是利用主引导区记录以在windows 基本服务启动之前加载病毒组件。这使得恶意软件能够控制随后加载和执行的windows组件-这也使病毒可以：
1）使恶意软件在windows服务与平常的防病毒技术前隐藏
2）并且禁用操作系统的安全策略允许执行更多的恶意文件
实际上，用户与系统看不到感染的病毒文件，尽管其病毒现象可能已经很明显。这会使工程师在被感染计算机上获取病毒相关信息非常困难。
三.当发现我的MBR被修改时我应该做什么？
a.备份系统
我们建议您预先备份您系统中的关键数据
b.提交日志与可疑样本给趋势科技技术支持部门
使用下列工具来收集提交日志与可疑样本文件给趋势科技技术支持部门
来分析：
•Rootkit Buster
Rootkit Buster
Rootkit Buster 是趋势科技针对Rootkit恶意文件的单机工具。RootkitBuster现在可以解决TDL3/TDL4病毒问题，清除被感染的MBR。支持对隐藏文件，注册表，进程，驱动和系统服务的消息钩子的检查。还能够在TMRBLog文件夹下创建相关日志记录
·SIC 工具（支持TDL/POPUREB）
SIC
是趋势科技提供的一款可以自动生成系统引导扇区转储日志来分析的工具。相关内容可以在工具提供的日志中“Disk drive(s) Boot Record”找到。
·ATTK（支持TDL/POPUREB）
ATTK Complete Collector
是另一款可以生成引导扇区转储日志的工具。
相关日志可以在输出文件夹中找到“irobot\Log\DiskSectorDump.log”。
c.使用趋势提供的工具修复系统
可以联系趋势科技技术支持部门获取工具，来修复您系统中被感染的部分。
d.使用Windows Recovery修复系统
如果没有提供工具，这里有一些建议操作步骤来修复被感染的MBR
1）对于Windows 2000 和 XP系统:
在故障恢复控制台（recovery console）运行“fixmbr”:
Windows XP 故障恢复控制台使用方法：
http://support.microsoft.com/kb/314058
Windows 2000 故障恢复控制台使用方法:
http://support.microsoft.com/kb/229716
2）对于Windows Vista 和 Windows 7系统：
在故障恢复控制台运行“bootrec /fixmbr”：
使用 Bootrec.exe 工具恢复被修改的MBR：
http://support.microsoft.com/kb/927392
Windows Recovery使用注意事项：
1.请在对MBR进行修复之前备份系统中重要的文件，以避免修复过程中可能出现的问题而造成文件的丢失。
2.恢复控制台/恢复环境，需要从安装光盘执行（独立的计算机驱动器），因为从本地驱动器启动，将执行被感染的MBR和防止恢复执行。
3.该解决方案只适用于Windows/Microsoft。如果有其他的配置，例如多引导分区（linux和Microsoft在同一台计算机上，或由第三方分区管理软件管理的系统），上述的方案不保证可以执行，因此需要在执行前备份系统中的文件备份。
四.什么恶意程序会与MBR感染捆绑在一起？趋势是否也支持清除这些恶意程序？
以下是TrendLabs已经遇到的相关病毒及变种：
TROJ_TDSS.KAX
BKDR_TIDSERV.DZ
BKDR_TDSS.KARU
BKDR_TDSS.ASH
TROJ_POPUREB.SMA
以上这些病毒问题都可以通过rootkitbuster 解决。同样也可以使用即将发布的Trend Micro Rescue Disk来解决