::: 您的位置:首頁 > 資安通報.友善列印,開新視窗
  資安通報 訂閱資安通報 RSS (另開新視窗)
     
 
回列表 |
資安通報列表
標  題 新型態惡意程式攻擊手法通告--磁碟MBR惡意程式
發布日期 2012/2/1
發布單位 總務處
點閱次數 2294
詳細內容

國家資通安全會報 技術服務中心
漏洞/資安訊息通告
發布編號 ICST-ANA-2008-0010 發布時間 2008/08/06 14:42:05
事件類型 其他 發現時間 2008/08/05
通告名稱 新型態惡意程式攻擊手法通告--磁碟MBR惡意程式
內容說明 技術服務中心近日發現新型態惡意程式,此類惡意程式藏身於磁碟主啟動磁區(Master Boot Record, MBR)之中,可能導致傳統電腦清除還原程序無法有效清除惡意程式。
此類惡意程式修改磁碟主啟動磁區啟動程式,於開機階段即取得控制權並在作業系統啟
動後執行惡意程式,此手法與傳統惡意程式於作業系統下取得控制權的模式不同。
由於磁碟主啟動磁區於磁碟格式化(Format)時不會被更動,因此使用磁碟格式化無法清
除此類惡意程式。另外,目前許多單位在發現電腦遭惡意程式感染時採用Ghost工具進
行還原,例如使用「分割區還原 (Image to Partition)」等方式進行系統還原,由於
此還原模式只會針對指定分割區進行資料還原,並不會更動到磁碟主啟動磁區,所以若
感染此類惡意程式,可能在磁碟還原後仍無法清除惡意程式,導致重新開機後惡意程式
再次感染作業系統的狀況。
清除此類惡意程式必須重建主啟動磁區,因此技術服務中心強烈建議各單位在電腦還原
標準程序中新增「重建主啟動磁區」的步驟。
重建主啟動磁區可利用以下兩種方式:
1. 利用微軟公用程式FDISK,使用磁片開機後執行「FDISK /MBR」指令進行重建。
2. 利用微軟Windows開機光碟開機,並進入修復主控台,執行「fixmbr」指令進行重建。
影響平台 Microsoft Windows 95/98/2000//ME/XP/2003/Vista
影響等級 高
建議措施 請修改惡意程式清除還原標準程序,新增重建磁碟主啟動磁區(MBR)之步驟。 參考資料 無

相關連結
相關檔案