国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现一种新型恶意木马程序。该木马程序会感染操作系统的磁盘主引导记录区(MBR),将木马程序文件复制到该纪录区中。目前,该恶意木马只感染操作系统Windows xp,而Windows Vista和Windows 7操作系统不受感染。
该木马运行后,会释放一些驱动程序文件对受感染操作系统的磁盘主引导记录区进行修改,最终导致木马程序文件会在系统启动过程中优先于系统中其他应用程序(包括防病毒软件在内)而直接加载到操作系统内存中运行,因此木马程序不会被操作系统中防病毒软件自动查杀。
另外,木马程序一旦入侵感染操作系统,计算机用户会在进程管理器中找不到木马程序进程文件,在磁盘分区中找不到木马程序原文件,同时该木马程序不会修改受感染操作系统注册表中相关启动键值项。操作系统受到该恶意木马程序感染后,会表现出以下主要症状:
1、操作系统运行速度缓慢,系统中防病毒软件无法正常被打开,同时发现重装操作系统后木马程序会依然存在系统中,无法被清除;
2、操作系统文件被感染,运行防病毒软件查杀系统以后,提示找不到相应的动态链接库文件dll或者操作系统功能运行不正常;
3、进程管理器中出现一个指向指定Web网站的浏览器IE进程;
4、操作系统桌面上会出现一个名为“播放器”的快捷方式,并指向某Web网站,同时修改浏览器IE首页地址;
5、迫使受感染的操作系统主动连接访问互联网络中指定的Web服务器,下载其他木马、病毒等恶意程序。
专家提醒:
针对这种新型恶意木马程序,国家计算机病毒应急处理中心建议广大计算机用户采取如下防范措施:
(一)针对已经感染该木马程序的计算机用户,我们建议格式化操作系统的系统磁盘后,先用 DOS命令fdisk/mbr清除掉操作系统主引导记录区的木马程序引导代码后,再重新安装操作系统就可以。
(二)针对未感染该木马程序的计算机用户,我们建议打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御,这样可以第一时间监控未知病毒的入侵活动,达到全方位保护计算机系统安全的目的。