2011年6月30日 星期四

【資安】視窗木馬新病毒 系統還原才能解


視窗木馬新病毒 系統還原才能解


微軟已經提出新的惡意軟體威脅警告,受到影響的Windows用戶只能將系統還原至前一狀態才能完全清除,或是格式化硬碟。根據微軟指出,這次的罪魁禍首是名為「Popureb」(全名為Trojan:Win32/Popureb.E)的特洛伊木馬病毒的最新變種,它會將部分的資料儲存在硬碟的主開機記錄區(MBR),並且還會推出驅動程式元件以防止惡意程式碼遭到更動
「這個驅動程式元件會以非尋常的方式保護資料」,微軟的惡意軟體保護中心的工程師Chun Feng日前提出警告,「它所附掛的DriverStartIo會定期監控磁碟的寫入操作:如果它發現寫入操作嘗試覆寫MBR或內含有惡意程式碼的磁區的話,它就會把寫入操作取代為讀取操作。這項操作仍會成功完成,但資料實際上並不會被寫入到磁碟之中。」
目前並不太清楚受到感染的機器會出現哪些症狀,但是它的前一版本Trojan:Win32/Popureb.B會顯示廣告以及修改使用者的Internet Explorer首頁。
微軟的防毒軟體引擎可以偵測出這項威脅。然而,Feng表示已經受到感染的機器必須使用系統還原控制台以及「fixmbr」指令來修復MBR,然後利用還原光碟來將系統還原至未受感染的狀態 
(ZDNet Taiwan編輯部/T.I.M譯)

相關文章 :

0 意見: