【51CTO.com綜合報(bào)道】BMW病毒是360安全中心最新捕獲的一款高危病毒，該病毒能夠連環(huán)感染BIOS（主板芯片程序）、MBR（硬盤主引導(dǎo)區(qū)）和Windows系統(tǒng)文件，使受害電腦無論重裝系統(tǒng)、格式化硬盤，還是換掉硬盤都無法徹底清除病毒。

病毒傳播途徑

捆綁游戲外掛，欺騙用戶關(guān)閉安全軟件后實(shí)施攻擊。

病毒中招現(xiàn)象

一、Windows系統(tǒng)啟動前，電腦屏幕顯示"Find it OK!"字樣；

二、殺毒軟件反復(fù)提示“硬盤引導(dǎo)區(qū)病毒”卻無法徹底清除；

三、瀏覽器主頁被篡改為http://10554.new93.com/index.htm

病毒防治方案

用戶電腦在正常開啟360安全衛(wèi)士的情況下，能夠防御BMW病毒，使其無法感染主板BIOS芯片和硬盤MBR；

如果有網(wǎng)民電腦因關(guān)閉安全軟件而被BMW病毒感染，可下載使用360“BMW病毒專殺工具”，能夠檢測病毒并阻止BIOS病毒代碼回寫MBR，再配合360系統(tǒng)急救箱進(jìn)行修復(fù)，可有效防范此類病毒反復(fù)發(fā)作。

以下為BMW病毒的技術(shù)分析

BMW病毒主體分為BIOS、MBR和Windows三個部分，攻擊流程如下圖：

一、BMW病毒BIOS部分

增加了ISA模塊BIOS部分，名為HOOK.ROM，作用主要是檢測MBR部分是否被恢復(fù)。如果發(fā)現(xiàn)MBR部分已被修復(fù)，就將BIOS內(nèi)的病毒代碼約 14個扇區(qū)寫入MBR中，導(dǎo)致用戶反復(fù)格式化、高格低格，或重新分區(qū)都無效。

二、BMW病毒MBR部分

MBR部分病毒代碼執(zhí)行后，會從第2個扇區(qū)開始讀6個扇區(qū)的病毒代碼到0X7C00處，然后跳至該處執(zhí)行，然后讀取第7個扇區(qū)中的備份 MBR到內(nèi)存中，驗(yàn)證扇區(qū)的有效性；

通過驗(yàn)證后，讀取分區(qū)表中的引導(dǎo)扇區(qū)所在的扇區(qū)到 0X7C00處，驗(yàn)證引導(dǎo)分區(qū)的有效性；

通過驗(yàn)證后，判斷引導(dǎo)分區(qū)的類型，目前該病毒支持NTFS和 FAT32，根據(jù)不同的分區(qū)類型進(jìn)行不同的處理，再經(jīng)過解析文件系統(tǒng)找到文件所在扇區(qū)，找到相應(yīng)的Windows系統(tǒng)文件讀取PE信息判斷其是否被感染過。（XP/2003系統(tǒng)為Winlogon.exe，Win7/Vista系統(tǒng)為Wininit.exe）

如果Windows系統(tǒng)文件已被感染，則在屏幕上顯示"Find it OK!"，然后調(diào)入原始MBR，跳到原始MBR處執(zhí)行；如果Windows系統(tǒng)文件沒有被感染，則進(jìn)行PE感染寫扇區(qū)，之后在屏幕上顯示"Find it OK!"，然后調(diào)入原始MBR，跳到原始MBR處執(zhí)行。

三、BMW病毒W(wǎng)indows部分（Winlogon和Wininit文件執(zhí)行感染）

以Winlogon.exe為例進(jìn)行說明：

由于病毒修改了該文件入口點(diǎn)，當(dāng)文件執(zhí)行時首先執(zhí)行加密過的病毒代碼，運(yùn)行時動態(tài)解碼。

病毒代碼解密后加載指定文件，創(chuàng)建病毒調(diào)用CreateThread創(chuàng)建線程，同時跳回原始入口點(diǎn)執(zhí)行。

在病毒線程里先Sleep10秒，然后調(diào)用URLDownloadToFileA從黑客服務(wù)器下載一個Downloader到本地，驗(yàn)證文件下載成功后，調(diào)用WinExec執(zhí)行，從而下載運(yùn)行多種惡意程序；該病毒還會下載驅(qū)動，命名為c:\my.sys，由之前的病毒代碼通過一系列服務(wù)函數(shù)來創(chuàng)建加載驅(qū)動，完成后該病毒線程進(jìn)入無限Sleep狀態(tài)。