發布編號

ICST-ANA-2008-0010

發布時間

2008/08/06 14:42:05

事件類型

其他

發現時間

2008/08/05

通告名稱

新型態惡意程式攻擊手法通告--磁碟MBR惡意程式

內容說明

技術服務中心近日發現新型態惡意程式，此類惡意程式藏身於磁碟主啟動磁區(Master Boot Record, MBR)之中，可能導致傳統電腦清除還原程序無法有效清除惡意程式。

 此類惡意程式修改磁碟主啟動磁區啟動程式，於開機階段即取得控制權並在作業系統啟動後執行惡意程式，此手法與傳統惡意程式於作業系統下取得控制權的模式不同。

 由於磁碟主啟動磁區於磁碟格式化(Format)時不會被更動，因此使用磁碟格式化無法清除此類惡意程式。另外，目前許多單位在發現電腦遭惡意程式感染時採用Ghost工具進行還原，例如使用「分割區還原 (Image to Partition)」等方式進行系統還原，由於此還原模式只會針對指定分割區進行資料還原，並不會更動到磁碟主啟動磁區，所以若感染此類惡意程式，可能在磁碟還原後仍無法清除惡意程式，導致重新開機後惡意程式再次感染作業系統的狀況。

 清除此類惡意程式必須重建主啟動磁區，因此技術服務中心強烈建議各單位在電腦還原標準程序中新增「重建主啟動磁區」的步驟。

 重建主啟動磁區可利用以下兩種方式：

1. 利用微軟公用程式FDISK，使用磁片開機後執行「FDISK /MBR」指令進行重建。

2. 利用微軟Windows開機光碟開機，並進入修復主控台，執行「fixmbr」指令進行重建。

影響平台

Microsoft Windows 95/98/2000//ME/XP/2003/Vista

影響等級

高

建議措施

請修改惡意程式清除還原標準程序，新增重建磁碟主啟動磁區(MBR)之步驟。

參考資料

無

此類通告發送對象為通報應變網站登記之資安聯絡人。若貴 單位之資安聯絡人有變更，可逕自登入通報應變網站（https://www.ncert.nat.gov.tw/）進行修改。若您仍為貴 單位之資安聯絡人但非本事件之處理人員，請協助將此通告告知相關處理人員。

如果您對此通告的內容有疑問或有關於此事件的建議，請勿直接回覆此信件，請以下述聯絡資訊與我們連絡。 

國家資通安全會報 技術服務中心 (http://www.icst.org.tw/) 

地 址： 台北市富陽街116號 

聯絡電話： 02-27339922 

傳真電話： 02-27331655 

電子郵件信箱： service@icst.org.tw