引导区病毒
引导型病毒是一种在ROM BIOS之后,系统引导时出现的病毒,它先于操作系统,依托的环境是BIOS中断服务程序。引导型病毒是利用操作系统的引导模块放在某个固定的位置,并且控制权的转交方式是以物理位置为依据,而不是以操作系统引导区的内容为依据,因而病毒占据该物理位置即可获得控制权,而将真正的引导区内容搬家转移或替换,待病毒程序执行后,将控制权交给真正的引导区内容,使得这个带病毒的系统看似正常运转,而病毒已隐藏在系统中并伺机传染、发作。
引导区病毒的传播方式:
下面主要说一下目前传播最为广泛的引导区病毒WYX。这个病毒传播的唯一途径就是使用感染有该病毒的启动盘(包含可启动的光盘)启动计算机。如果只是读取感染有引导区病毒的软盘或者光盘上的文件是不会被感染。
如果你的机器已经感染该病毒,并且病毒驻留了内存,则你的软盘如果没有写保护的话很容易被感染。
WYX病毒的清除:
当你的杀毒软件查出了机器感染了WYX的时候请不要惊慌,先要看清楚该文件的感染位置。
如果病毒是在SUHDLOG.DAT或SUHDLOG.BAK文件中,那么直接删除即可。其实,这是硬盘引导区先染上了引导区病毒,以后在安装WINDOWS系统时,没有先查杀病毒,直接就安装了WINDOWS系统。所以,WINDOWS先将引导区做了一个文件形式的备份,文件SUHDLOG.DAT就是其备份,该文件以隐含的形式存放在WINDOWS系统根目录下,由于该引导型病毒存在文件中,没有作用,所以可以直接删除。
如果病毒只是存在于移动存储设备(如软盘、闪存盘、移动硬盘)上,就可以借助本地硬盘上的反病毒软件直接进行查杀,或者干脆把移动存储设备上的文件备份到硬盘上,然后重新格式化掉移动存储设备,再把文件复制回去。
如果病毒确实是在硬盘的引导区上,也不用怕,这类病毒的清除方法很简单,针对不同的操作系统有不同的清除方法,一般可以不依靠杀毒软件。不过在清除之前一定要备份原来的引导区,特别是原来装有别的操作系统的情况,如日文Windows、Linux等。
Windows 95/98/me系统上的清除方法:
1.找一张“干净”的启动盘(没有这个引导区病毒的盘),启动你的计算机,一般安装操作系统的时候都会提示您制作启动盘。如果您手头没有启动盘或者您不能保证启动盘是否是“干净”的,您可以在别的计算机上做一张干净的可引导盘,此引导盘可以在Windows 95/98/me系统上通过“添加/删除程序”进行制作,但要注意的是,制作软盘的操作系统须和自己所使用的操作系统相同,也就是说如果你的系统是Windows me的话,你是不能使用一张Windows 98的启动盘进行下述操作的。
2.用这张软盘引导启动带毒的计算机,然后运行以下命令:
A:fdisk /mbr [回车]
A:sys a: c: [回车]
然后重新启动计算机就可以了。
其中第一行用于清除主引导记录中的病毒,第二行用于清除C盘引导区上的病毒。
Windows 2000/XP系统上的清除方法:
1.如果你之前通过X:i386winnt32.exe /cmdcons命令安装了恢复控制台可以直接选择进入。如果以前没有安装过恢复控制台则要使用系统的安装光盘启动计算机。当出现安装界面的时候按R选择“要用‘恢复控制台’修复”。系统会提示你登入到哪个系统,请输入相应的序号然后按回车。
2.然后分别执行fixmbr(恢复主引导记录)和fixboot(恢复启动盘上的引导区),再输入EXIT[回车],重新启动即可。
清除引导区病毒的注意事项:
1.如果用干净的启动盘启动计算机以后发现不能访问硬盘,而且硬盘不是NTFS格式,但是用硬盘启动计算机以后可以访问硬盘,则说明你的机器感染了可以加密引导区信息的病毒,此时看到的是加密的信息,比如前面提到的“Monkey(猴子)”病毒。遇到这种病毒时你应该让系统自己引导计算机,让病毒自己解密,然后用杀毒软件备份引导区的信息(目前国产的三大杀毒软件都有此功能),然后再用干净的启动盘启动计算机,把刚刚备份出来的引导区信息再写回硬盘就可以了。
2.如果你的机器被病毒感染无法启动,且用软盘引导也看不到硬盘(硬盘不是NTFS分区)则最好不要对硬盘进行写操作,应该找有经验的人员来帮您解决,以免造成不必要的损失。
如何防范引导区病毒:
前面已经提到,引导区病毒只有用染有病毒的软盘或光盘启动计算机的时候才会感染,所以养成良好的习惯是防范这种病毒的关键:对不明来路的软盘使用前应该先查毒;不用计算机的时候不要把软盘、光盘留在驱动器里(许多机器感染这个病毒都是由于用了带有病毒的可引导光盘启动计算机所造成的);另外,最好在主板的设置里把防病毒一项打开。