作者 主題: [最佳]最新強大病毒通知! (中了! 電腦就報銷了)  (閱讀 20163 次)

0 會員 與 1 訪客 正在閱讀本文。

unitcell

  • 活潑的大學生
  • ***
  • 文章數: 411
    • 檢視個人資料
Subject: Fw: 最新強大病毒通知! (中了! 電腦就報銷了)

> > > >最新強大病毒通知
> > > >
> > > >真正威力強大的病毒來了,以往嚴重中毒用戶,只要把硬碟format掉重灌就好
> 了,
> > > >馬吉斯變種病毒中毒者只能再買一台電腦!
> > > >
> > > >賽門鐵克防毒軟體公司發佈,4月造成許多電腦中毒的馬吉斯病毒日前已有變種

> 毒

這是真的嗎?
它是如何破壞CMOS, 音效卡, KEYBOARD, HDD等硬體呢?

Thanx.

gol4302

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
那一種軟體可以在短時間破壞硬體 ? 我不相信
我想最多把 bios 的內容洗掉吧

Tetralet

  • 活潑的大學生
  • ***
  • 文章數: 370
    • 檢視個人資料
請參考這裡:

http://securityresponse.symantec.com/avcenter/venc/data/w32.magistr.39921@mm.html

http://securityresponse.symantec.com/avcenter/venc/data/w32.magistr.24876@mm.html

是個老病毒囉,
沒看到有新的變種病毒出現的資訊。


值得注意的是這一段:

代碼: [選擇]
* The payload overwrites the files Ntldr (Windows NT/2000/XP) and Win.com (all Windows 32 OSs) on all drives with code that causes it to store garbage data in the first sector of the first IDE hard drive.


看來真的會把硬碟的 FAT 表給弄壞掉...
保險起見,
趕快備份您的 FAT 表吧!
(SPFdisk 有這個功能)

gol4302

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
引述: "Tetralet"

代碼: [選擇]
* The payload overwrites the files Ntldr (Windows NT/2000/XP) and Win.com (all Windows 32 OSs) on all drives with code that causes it to store garbage data in the first sector of the first IDE hard drive.


看來真的會把硬碟的 FAT 表給弄壞掉...
保險起見,
趕快備份您的 FAT 表吧!
(SPFdisk 有這個功能)


硬碟的第一個 sector 應該不是 FAT 表
它不過是破壞開機區讓硬碟無法開機罷了 ,並不會弄壞 "硬體" 呀

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
通常這種訊息都是有可議之處, 不能通通相信的...

小弟舉個例子, 古代CIH很流行的時候, 還有朋友說中了會把BIOS燒掉, 破壞硬碟讀取頭等等的症狀... 還有很好心通知你要把windows底下某個檔案刪除的(小弟是知道Windows 2000底下有個autoqm.exe會自動連接回M$資料庫...), 以免被病毒利用或者洩漏國家機密等等.....

病毒的防治是很重要, 但也不要看到黑影就開槍啊!!!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4046
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
@@ 還沒查明真相就將 (謠言) 貼出來照成別人的恐慌,果然是標準的台灣人!

病毒介紹如下:
http://securityresponse1.symantec.com/sarc/sarc-tw.nsf/html/tw-w32.magistr.24876@mm.html

感染後病毒會作的事情(就在網頁中,節錄):
1.刪除受感染的檔案
2.清除 CMOS (僅限 Windows 9x/Me)
3.清除 Flash BIOS (僅限 Windows 9x/Me)
4.覆寫第一個硬碟的其中一個磁區。
注意:此病蟲會試圖清除 Windows 95/98/Me 電腦上的 CMOS 並更新 BIOS。在大部分情況下,這都不會成功。若真的成功了,電腦可能無法正常開機,或甚至根本無法開機。

那重點來了!他會像 CIH 一樣去刪除 bios 和 cmos ,那我會害怕嗎!?
不會............因為我有 ic 燒錄器 =.="
真是錢多 =.="
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
看來威力很強..... 破壞程度中下.......

但是, 重點來了........................


我是用Linux平台的啊!


喵的咧........ 沒在怕的啦~~~ 哈!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

paulso

  • 俺是博士!
  • *****
  • 文章數: 1966
    • 檢視個人資料
linux 好^^

gol4302

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
引述: "hoyo"

感染後病毒會作的事情(就在網頁中,節錄):
3.清除 Flash BIOS (僅限 Windows 9x/Me)


還真給我猜中 ^_^ ..... 快去買樂透[/quote]

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
引述: "gol4302"
還真給我猜中 ^_^ ..... 快去買樂透


其實這招沒有甚麼, 呼叫ASM中斷就可以達成讀寫BIOS的功能...

只是古代的BIOS構成是EPROM + FDRAM, 現在是EEPROM而已...

電子學辭典:

EPROM: 寫入電壓要求約10~15伏特, 一般主機板不會提供這麼大的電壓.

EEPROM: 寫入電壓從2.8伏特到3.3伏特, 比較早期的都是採用5伏特的產品. 特點是一般人就可以在主機板上自行更換BIOS版本, 只需要透過南橋晶片組就可以達成.
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
引述: "日京三子"
其實這招沒有甚麼, 呼叫ASM中斷就可以達成讀寫BIOS的功能...

只是古代的BIOS構成是EPROM + FDRAM, 現在是EEPROM而已...

電子學辭典:

EPROM: 寫入電壓要求約10~15伏特, 一般主機板不會提供這麼大的電壓.

EEPROM: 寫入電壓從2.8伏特到3.3伏特, 比較早期的都是採用5伏特的產品. 特點是一般人就可以在主機板上自行更換BIOS版本, 只需要透過南橋晶片組就可以達成.

真是寶貴的知識...

再請問一下 , 假設現在 bios 被洗掉了, 只要不重開機都繼續跑
所以若知道 bios 被洗掉就別全部重開機...
那麼如何知道 bios 被洗掉了呢?

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
引述: "dark"

再請問一下 , 假設現在 bios 被洗掉了, 只要不重開機都繼續跑
所以若知道 bios 被洗掉就別全部重開機...


正確! 基本的系統組態都在, 除非下命令去重新讀取, 不然你還是可以面對電腦發呆, 或者把檔案寫回去的..
引述: "dark"

那麼如何知道 bios 被洗掉了呢?


呃...........

那我要先回頭找一下我遠古時代, 高工的筆記先.....





不然會變成我在胡說八道.....
----------
話說我母校的老師上課真認真^o^
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

gol4302

  • 憂鬱的高中生
  • ***
  • 文章數: 100
    • 檢視個人資料
引述: "日京三子"
EPROM: 寫入電壓要求約10~15伏特, 一般主機板不會提供這麼大的電壓.

EPROM Erasable &Programmable ROM。可消除可程式唯讀記憶體 (就是 IC 上面還有透明窗戶的那種)
燒錄前還必須利用紫外線燈"洗掉"原有的資料

EEPROM Electrically Erasable &Programmable ROM。電流可消除可程式唯讀記憶體
就是運用電氣特性即可"洗掉"原有的資料

PROM  Programmable ROM。可程式唯讀記憶體
僅能一次燒錄的 ROM

引述: "dark"

那麼如何知道 bios 被洗掉了呢?

我想到的方式 ,事先算出 BIOS 的 Checksum 存在硬碟 ,想比對的時候在比對就知道囉
或是把 BIOS 內容全部存檔(反正現在硬碟這麼大) ,想比對的時候在比對

duncanlo

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 7312
    • 檢視個人資料
一般人裝Linux都順便有裝gcc,
假如被入侵了,
那傷害性不比Windows低...

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17461
    • 檢視個人資料
    • http://www.study-area.org
引述: "duncanlo"
一般人裝Linux都順便有裝gcc,
假如被入侵了,
那傷害性不比Windows低...

嗯,看來每一台機器最好能有一台  shadow 主機:
origin 主機不裝 gcc ,當然許多不必要的用來 compile 的工具與環境也全修改過.... 且設為 read only(哇﹗會否太難了?)
然後若要升級或 compile ,就在 shadow 主機上跑,
然後將 binary 跟 library 復制過去 origin 主機... 先設回 rw 再設回 ro ...(嗯?會否太麻煩了?)

其實,nfs 在某種程度上,可達成上述要求:
1) upgrade 與 compile 在 server 上,與外屆完全隔絕。
2) 再透過 nfs 以 read only mount 過來用。

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
引述: "netman"
引述: "duncanlo"
一般人裝Linux都順便有裝gcc,
假如被入侵了,
那傷害性不比Windows低...

嗯,看來每一台機器最好能有一台  shadow 主機:
origin 主機不裝 gcc ,當然許多不必要的用來 compile 的工具與環境也全修改過.... 且設為 read only(哇﹗會否太難了?)
然後若要升級或 compile ,就在 shadow 主機上跑,
然後將 binary 跟 library 復制過去 origin 主機... 先設回 rw 再設回 ro ...(嗯?會否太麻煩了?)


可是沒看到 unix like 的 os 沒有用到 perl 的....
在入侵之後, 有 perl, 那還有什麼事不能做的? 會比較麻煩些倒是真的.

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17461
    • 檢視個人資料
    • http://www.study-area.org
嗯,安全大不易啊....

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
記得很久以前看過一篇文章, 好像是來自於某網路安全實驗室的, 裡面有說到一些觀念:

1. 只要你這台電腦有提供服務, 意即有機會讓人從這端點進入, 無論是否符合原本預期的進入.

2. 只要在網路上, 絕對有辦法找到, 只是看有沒有心去找.

3. 擔任防火牆或者對外提供服務的電腦, 其能提供的資源越少越好! 那不僅僅代表對方取得系統控制權的機率不高, 也代表對方取得的意願不高(EX: 千辛萬苦, 控制了一台386的PC, 上面只有1024的Memory, 一個Floopy, 一張10MBase的網路卡, 使用ROM所提供的作業系統, 沒有其他能運作的程式or外部資源. 取得之後對方也不能造成甚麼樣的破壞..... 也不能當成跳板, 取之何用? )

4. 系統越簡單, 代表分析問題越簡易. 如果今天老師的程式作業只有一行課本上所示範的命令, 對於我們當學生的一定很高興, 因為很容易理解跟除錯; 但如果老師的程式有三五千行, 其中有幾行命令發生錯誤時, 當學生的一定會想哭!

5. 最安全的電腦就是, 沒有任何對內外的連線, 沒有鍵盤沒有螢幕, 也沒有滑鼠跟磁碟機; 提供了連線鍵盤滑鼠, 就是代表提供了危險!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4046
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
引述: "日京三子"

5. 最安全的電腦就是, 沒有任何對內外的連線, 沒有鍵盤沒有螢幕, 也沒有滑鼠跟磁碟機; 提供了連線鍵盤滑鼠, 就是代表提供了危險!


fans 來灌水一下! :lol:

最安全的電腦就是一台......................."壞掉的電腦" :o

覺得會冷的趕快就穿一件衣服 ^^"
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
引述: "日京三子"

小弟舉個例子, 古代CIH很流行的時候, 還有朋友說中了會把BIOS燒掉, 破壞硬碟讀取頭等等的症狀... 還有很好心通知你要把windows底下某個


非常古老的年代,是可能做得到。

當年的硬體防護並不好,硬碟對於不正常的參數設定會照著做,造成
一些實質的物理損害,就是那個需要 park 硬碟的年代。後來硬碟內
部防護都做得不錯..so...

同年代,顯示器是沒有過頻保護的,一隻程式還是可以傳送過高更新
率的命令去切換顯示模式,造成顯示器毀損,那是一個交錯、非交錯
掃描都還是賣點的年代。現在過頻根本就切斷訊號了..so...
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
突然看到這個老話題又被拿出來, 小弟就來沾一下口水...^O^
引述: "harrier"
引述: "日京三子"

小弟舉個例子, 古代CIH很流行的時候, 還有朋友說中了會把BIOS燒掉, 破壞硬碟讀取頭等等的症狀... 還有很好心通知你要把windows底下某個


非常古老的年代,是可能做得到。

當年的硬體防護並不好,硬碟對於不正常的參數設定會照著做,造成
一些實質的物理損害,就是那個需要 park 硬碟的年代。後來硬碟內
部防護都做得不錯..so...

同年代,顯示器是沒有過頻保護的,一隻程式還是可以傳送過高更新
率的命令去切換顯示模式,造成顯示器毀損,那是一個交錯、非交錯
掃描都還是賣點的年代。現在過頻根本就切斷訊號了..so...


硬碟park的年代, 其實那個程式是沒有任何用途的(只是秀一個動畫, 並沒有實際用途; 但因為那時候用電腦的機會不大, 也買不大起電腦, 所以有人如此說, 我們大多就信以為真); 至於切換顯示器的頻率讓螢幕掛點, 我只能說, 這招應該也是不可行, 因為....

CIH出來的年代, 比自動變頻螢幕推出的年代更後面啊!!!

印象中, 好像剩下"太陽系"作業系統還有非變頻式的螢幕, 昨天在光華商場才找到一個人在苦命的找特殊的切換器.....
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
不是啦,我只是打個比方說大約在什麼年代,可以藉由程式去做到
一些硬體實質上的損壞...   ^_^b

至於 CIH,和很多其他病毒,其效用真的被誇大太多了啦。

BIOS 裡面的硬碟參數亂設,在當時是真的會弄壞 HDD 的,一些低
階格式化的程式,如果參數錯誤,也是真的會損壞 HDD 的。

這些,都已經消失很久了,是歷史塵埃了呢?  ^o^b
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

LeMax

  • 可愛的小學生
  • *
  • 文章數: 29
    • 檢視個人資料
引述: "日京三子"

硬碟park的年代, 其實那個程式是沒有任何用途的(只是秀一個動畫, 並沒有實際用途; 但因為那時候用電腦的機會不大, 也買不大起電腦, 所以有人如此說, 我們大多就信以為真); ...


這個 park 程式是真的(有的還要 unpark), 早期的 hard disk 沒有 auto-park 的設計(容量 20M 以下,1棵要1萬多元的那個時代), 電腦關機不用時, 建議要 park , 以避免機器移動時 head 與 disk 接觸刮傷, 而且關機後要等一段時間才能移動機器, 因為 disk 因慣性作用,還在轉動.

現在的 hard disk 都設計成 auto-park 了.

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
沒錯沒錯...
LeMax說的我能做證...
我就因為把硬碟帶來帶去死了好幾顆 -.-
真是悲慘的過去啊

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
話說我在小學("小"的還在"學")的時候, 曾經利用debug跟一下反組譯程式將那個park.exe程式打開來研究過(還非常認真的^O^), 其實裡面只有呼叫一些空迴圈加上寫回硬碟的指令而已, 反而最大的程式碼用於畫一個電源開關的動畫...

不過, 我說真的, 那個程式給我們最重要的意義就是, 不要一關機就準備拉著硬碟走! 現在起碼我們會等M$告訴你可以放心關機了才會去關閉電源, 而不是像當年386時代, 管他三七是五十六還是二十一, 硬碟拉了就跑, 然後硬碟就跟你說掰掰了...

我還"看"過只有4M的硬碟, 在那個年代想要看到這種大怪物, 還真要有一個非常有錢的好朋友才行(望向遠方貌... )

或者, 我當年其實拿到的程式只是空殼一個? (是誰那麼殘忍拿一個空殼給正直熱血好青年? )
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
引述: "日京三子"
的^O^), 其實裡面只有呼叫一些空迴圈加上寫回硬碟的指令而已, 反而最大的程式碼用於畫一個電源開關的動畫...
或者, 我當年其實拿到的程式只是空殼一個? (是誰那麼殘忍拿一個空殼給正直熱血好青年? )


聽這麼一說,我知道這是那一個啦..我用的不是這個...   :)

不曉得正直熱血的好青年還有沒興趣研究另一個 park...   XD
(可能挖得出來喔)
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8829
    • 檢視個人資料
    • http://www.24online.cjb.net
引述: "harrier"
引述: "日京三子"

或者, 我當年其實拿到的程式只是空殼一個? (是誰那麼殘忍拿一個空殼給正直熱血好青年? )

聽這麼一說,我知道這是那一個啦..我用的不是這個...   :)
不曉得正直熱血的好青年還有沒興趣研究另一個 park...   XD
(可能挖得出來喔)


你還有這種古董? 交出來交出來, 別順便灑病毒給我就好....

麻煩請寄到小弟的信箱中, 謝謝!
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。