RM病毒

RMBD是引導型病一毒,它的傳播媒介是軟碟,寄生在軟碟的引導記錄區(以下記作Boot)和硬碟的上引導記錄區(以下記作MBB)中。RMBD的危害:

1、對於軟碟,它用“修改”後的MBB覆蓋Boot,受感染的軟碟不再能引導系統。因為受感染的軟碟Boot區實際上是修改後的MBB,所以用這樣的軟碟啟動系統,最終仍是從硬碟上啟動。因為RMBD覆蓋了Boot區,所以使受感染的軟碟不能被一些低檔機器或低版本的DOS系統所識別。

2、對於幾硬碟,感染時它修改MBB,發作時破壞硬碟,零柱而的大部分扇區(0柱面或者有磁軌的4一17扇區,約82%),其中主要FAT(檔案分配表)區,對10M硬碟還涉及到DIR(目錄區)和DATA(數據區)。

RMBD炮製者改寫了主引導記錄區,然後用它代替或感染軟碟的Boot區,當用這樣的硬碟啟動系統時,因為ROMBIOS要將Boot調人記憶體O:7COO然後將控制交給Boot,所以也就把控制交給了RMBD!

RMBD得到控制權後:

1、讀硬碟主引導區到O:9COO;

2、保留硬碟DOS或活動分區前的隱扇區數到自身O:7COO;

3、將硬碟主引導區後部的“分區表”搬到自身0:7COO;

4、將帶有硬碟“分區表”的自身寫回硬碟,即完成感染硬碟;

5、修改INTB人口,使對INTB的調用轉向自身中的感染體;

6、修改記憶體總量單元的值,然後駐留到記憶體高端9FCO:00一9FFF:FF.

7、修改跳轉指令執行原引導過程。

RMBD剛感染到硬碟時並不造成破壞,但它駐留在高端,並截獲INT13的調用,也就是說,一旦用帶RMBD的軟碟引導系統,哪怕引導失敗,也已造成對硬碟的感染;若引導成功,那么系統就成了傳播RMBD的工具,因為RMBD截獲了對INT13的調用,所以任何對INT13的調用,都將激活RMBD,激活的RMBD將按如左圖所示的流程工作。

掌握了RMMD的傳播原作用機制,也就有了解除它的方法:

對於軟碟,因RMBD破壞了Boot,所以用一個好的相應(版本、廠家)的其它軟碟上的Boot覆蓋掉RMBD即可,
用DEBUG操作的過程如下:

圖1

1、將選好的軟碟擂人A驅;

2、C>DEBVG;

3、一L0001;

4、再將帶RMBD的軟、盤插入A驅;

5、一W0001;

6、一Q

對硬碟,可以修改帶毒的主引導區,也就是RMBD中的第十一、十二兩個位元組(將“EB,,TE,改為“BF"00",)和寫137、138兩位元組(將"90","90"改為"00","00"),使RMBD不能傳播,也可以用好的主引導區按照RMBD中的分區表修改一下,寫回硬碟。

值得指出的是:RMBD採取了自我保護的措施,所以必須用“乾淨”的系統盤引導系統後才能清除它。