当心“粉碎十四日”毁灭性病毒

2018-12-19 02:30 来源:未知

  该病毒于六月之后每月的 14 日发作,发作时电脑出现蓝屏错误信息,显示如下信息:“Virus Warning!Virus name is SMASH, project D version 0x0A.Created and compiled by Domitor.”(病毒警告!病毒名称为‘SMASH’,D方案,0x0A版。由Domitor创建编写。)同时病毒会修改 IO.SYS 文件的入口点,然后将电脑挂起。此时用户很可能会按下任意键或试图重启,这就会在无意之中使病毒得以执行,机器将无法使用。

  一旦病毒被启动运行后,该病毒代码就会使用一种所谓的“隧道挖掘法”找到 Interrupt 13 BIOS 项并存储其值以备将来之用。当前的指令指示器值将指向指令执行的地址。“隧道挖掘法”用于追踪中断处理程序以确定在某个地址区域范围执行的时间,此处是指与系统 BIOS存储器相对应的范围。该技术包括与interrupt 1 挂钩 (亦称单步中断)及利用指令每次执行时的中断设置陷阱标记。

  一旦找到 Interrupt 13 项,病毒就将利用它执行低级磁盘操作。因为所有低级磁盘操作系统调用直接作用于 BIOS 存储器,所以很难中途阻止。这也意味着某些磁盘保护软件无法保护用户防范该病毒。

  KILL系列防病毒产品的用户应及时到下载最新病毒特征库以保护自己的计算机;或到KILL授权服务中心拷贝最新升级文件。KILL病毒特征库13.24版能够保护用户免遭Win95/Smash攻击。

  * 如果您不确定该启动盘中 io.sys 版本是否正确,安全起见,请从驱动器c: 区中删除io.sys 文件,使机器不用启动盘就无法重启,您的数据也就不会受到损坏。但是要重新启动计算机,仍然需要用拷贝一个相同版本的io.sys文件。常用的删除命令为(出现 c:\ 提示之后):del io.sys

TAG标签: 单步追踪
版权声明:转载须经版权人书面授权并注明来源