[科普中国]-RM病毒

"RMBDRMCCQBDWRM"字符串,而用公安部下发的解毒软件(SCANV3.l/KILLV37.06)和CenterPoint公司的解毒软件(CPAV)都检查不出来,故不妨称它为“RM”病毒,以下记作“RMBD’.

危害RMBD是引导型病一毒,它的传播媒介是软盘,寄生在软盘的引导记录区(以下记作Boot)和硬盘的上引导记录区(以下记作MBB)中。RMBD的危害:

1、对于软盘,它用“修改”后的MBB覆盖Boot,受感染的软盘不再能引导系统。因为受感染的软盘Boot区实际上是修改后的MBB,所以用这样的软盘启动系统,最终仍是从硬盘上启动。因为RMBD覆盖了Boot区,所以使受感染的软盘不能被一些低档机器或低版本的DOS系统所识别。

2、对于几硬盘,感染时它修改MBB,发作时破坏硬盘,零柱而的大部分扇区(0柱面或者有磁道的4一17扇区,约82%),其中主要FAT(文件分配表)区,对10M硬盘还涉及到DIR(目录区)和DATA(数据区)。

RMBD的传播过程RMBD炮制者改写了主引导记录区,然后用它代替或感染软盘的Boot区,当用这样的硬盘启动系统时,因为ROMBIOS要将Boot调人内存O:7COO然后将控制交给Boot,所以也就把控制交给了RMBD!

RMBD得到控制权后:

1、读硬盘主引导区到O:9COO;

2、保留硬盘DOS或活动分区前的隐扇区数到自身O:7COO;

3、将硬盘主引导区后部的“分区表”搬到自身0:7COO;

4、将带有硬盘“分区表”的自身写回硬盘,即完成感染硬盘;

5、修改INTB人口,使对INTB的调用转向自身中的感染体;

6、修改内存总量单元的值,然后驻留到内存高端9FCO:00一9FFF:FF.

7、修改跳转指令执行原引导过程。

RMBD刚感染到硬盘时并不造成破坏,但它驻留在高端,并截获INT13的调用,也就是说,一旦用带RMBD的软盘引导系统,哪怕引导失败,也已造成对硬盘的感染;若引导成功,那么系统就成了传播RMBD的工具,因为RMBD截获了对INT13的调用,所以任何对INT13的调用,都将激活RMBD,激活的RMBD将按如左图所示的流程工作。

解除方法掌握了RMMD的传播原作用机制,也就有了解除它的方法:

对于软盘,因RMBD破坏了Boot,所以用一个好的相应(版本、厂家)的其它软盘上的Boot覆盖掉RMBD即可,
用DEBUG操作的过程如下:

1、将选好的软盘擂人A驱;

2、C>DEBVG;

3、一L0001;

4、再将带RMBD的软、盘插入A驱;

5、一W0001;

6、一Q

对硬盘,可以修改带毒的主引导区,也就是RMBD中的第十一、十二两个字节(将“EB,,TE,改为“BF"00",)和写137、138两字节(将"90","90"改为"00","00"),使RMBD不能传播,也可以用好的主引导区按照RMBD中的分区表修改一下,写回硬盘。

值得指出的是:RMBD采取了自我保护的措施,所以必须用“干净”的系统盘引导系统后才能清除它1。

本词条内容贡献者为:

王慧维 - 副研究员 - 西南大学