微軟：Yonsole病毒讓XP/Vista/Win7黑屏癱瘓

Win7之家（ afsion.com.cn）：微軟：Yonsole病毒讓XP/Vista/Win7黑屏癱瘓

微軟日前表示，一種新的惡意軟件將破壞Windows啟動(dòng)進(jìn)程，阻止系統(tǒng)啟動(dòng)。微軟檢測(cè)到的這個(gè)木馬病毒為Backdoor:Win32/Yonsole.A，受感染的計(jì)算機(jī)會(huì)受到攻擊者的遠(yuǎn)程控制，執(zhí)行各種指令。微軟安全人員Chun Feng解釋說：“這個(gè)最近發(fā)現(xiàn)的后門程序可以接受并執(zhí)行遠(yuǎn)端服務(wù)器的指令，修改受感染計(jì)算機(jī)的主引導(dǎo)記錄 （MBR）。它對(duì)MBR的修改十分類似于‘Stoned’病毒對(duì)DOS的修改。不同的是，受Yonsole感染后，MBR只在屏幕中間顯示一道虛線，并且不再啟動(dòng)。我們將新的MBR檢測(cè)為Trojan:DOS/Yonsole.A。”

受此病毒感染后，用戶將無法控制自己的計(jì)算機(jī)，攻擊者則可以遠(yuǎn)程執(zhí)行各種命令。微軟表示：“Backdoor:Win32/Yonsole.A 會(huì)將自己植入services.exe，并下載一個(gè)DLL文件到，比如 f00165500k.cmd，這個(gè)DLL文件包含后門功能，可能被檢測(cè)為Backdoor:Win32/Yonsole.B。 Backdoor:Win32/Yonsole.A將下載的DLL文件作為Service DLL安裝到計(jì)算機(jī)上，以確保每次Windows啟動(dòng)時(shí)都會(huì)加載。”

Yonsole影響很多Windows版本，Windows 2000和Windows NT下：將DLL文 件放到C:\Winnt\System32中；Windows XP、Windows Vista、Windows 7： 將DLL文件放到C:\Windows\System32中。 



MBR代碼

啟動(dòng)屏幕