黑屏是微軟時常用來對付Windows盜版用戶的一種策略,不過,最近,微軟檢測到一種木馬病毒也會使電腦產生黑屏,並無法啟動。
據悉,該木馬病毒為Backdoor:Win32/Yonsole.A,是一種新的惡意病毒軟件,將破壞Windows啟動進程,阻止系統啟動,受感染的計算機會受到攻擊者的遠程控制,執行各種指令。
微軟安全人員Chun Feng在博客中表示,這個新發現的木馬程序可接受並執行遠端服務器的指令,修改受感染計算機的主引導記錄(MBR),對MBR的修改十分類似於 ‘Stoned’病毒對DOS的修改。不過,受Yonsole感染後,MBR只在屏幕中間顯示一道虛線,並且無法再啟動。Chun Feng在博客上還放出了Yonsole病毒的MBR代碼和系統黑屏無法啟動的截圖。
新病毒MBR代碼
啟動屏幕截圖
該病毒將影響多個Windows版本,會將自己植入services.exe,並下載一個DLL文件到,如f00165500k.cmd,這個 DLL文件包含後門功能,可能被檢測為Backdoor:Win32/Yonsole.B。Backdoor:Win32/Yonsole.A將下載的 DLL文件作為Service DLL安裝到計算機上,以確保每次Windows啟動時都會加載。在Windows 2000和Windows NT中,病毒會將DLL文件植入C:WinntSystem32文件夾;在Windows XP、Windows Vista、Windows 7系統中,則將DLL文件植入C:WindowsSystem32文件夾。
