360安全中心发现,BMW病毒主要通过捆绑游戏外挂传播,欺骗用户关闭安全软件后再攻击电脑,感染特定型号的主板BIOS(Award BIOS);如果用户电脑主板BIOS并非Award BIOS,病毒则会直接感染MBR,受害电脑同样难以清除。据统计,目前在5万余例受到BMW病毒攻击的电脑中,使用Award BIOS并被病毒侵入主板的电脑比例接近10%。
BMW病毒被安全业界普遍视为“CIH噩梦重现”,后者被美国科技网站Techweb(www.techweb.com)评选为全球十大病毒之首,曾造成数千万美元的经济损失。赛门铁克分析报告使用“BIOS威胁又出现了”作为标题,其中这样描述:“我们很少遇到影响BIOS的恶意程序,1999年臭名昭著的CIH是其中一个。最近新的威胁又出现了,它能将恶意组件写入Award BIOS,甚至比MBR更先控制系统。”
欧洲知名杀毒厂商Norman官方博客则表示:“Win9x时代的CIH病毒将垃圾数据填充到BIOS,导致电脑无法再次启动。此后关于感染BIOS的研究有很多,但或多或少都停留在概念验证上。中国安全机构360安全卫士发现了能将代码写入BIOS的恶意程序,它真正意义上实现了可刷写BIOS。”
安全专家建议,防御BMW病毒最有效的方法是保持360等安全软件处于开启状态,不要为了使用游戏外挂而关闭安全防护。已经感染BMW病毒的电脑用户,可访问360官网下载使用BMW病毒专杀工具,或联系杀毒厂商客服人员进行处理。
图1:赛门铁克将BIOS新威胁与CIH相提并论
图2:Norman官方博客对360报告的恶意软件做出细节分析
附件:国外安全机构关于BMW病毒的分析报告
1、赛门铁克病毒分析报告(赛门铁克命名:Trojan.Mebromi)
http://www.symantec.com/connect/blogs/bios-threat-showing-again
2、Norman病毒分析报告(Norman命名:Mebromi)
http://blogs.norman.com/2011/malware-detection-team/mebromi-a-bios-flashing-trojan
3、微软官网病毒通报(微软命名:TrojanDropper:Win32/Bioskit.A)