【51CTO.com綜合報道】BMW病毒是360安全中心最新捕獲的一款高危病毒，該病毒能夠連環感染BIOS（主板芯片程序）、MBR（硬盤主引導區）和Windows系統文件，使受害電腦無論重裝系統、格式化硬盤，還是換掉硬盤都無法徹底清除病毒。

病毒傳播途徑

捆綁游戲外掛，欺騙用戶關閉安全軟件后實施攻擊。

病毒中招現象

一、Windows系統啟動前，電腦屏幕顯示"Find it OK!"字樣；

二、殺毒軟件反復提示“硬盤引導區病毒”卻無法徹底清除；

三、瀏覽器主頁被篡改為http://10554.new93.com/index.htm

病毒防治方案

用戶電腦在正常開啟360安全衛士的情況下，能夠防御BMW病毒，使其無法感染主板BIOS芯片和硬盤MBR；

如果有網民電腦因關閉安全軟件而被BMW病毒感染，可下載使用360“BMW病毒專殺工具”，能夠檢測病毒并阻止BIOS病毒代碼回寫MBR，再配合360系統急救箱進行修復，可有效防范此類病毒反復發作。

以下為BMW病毒的技術分析

BMW病毒主體分為BIOS、MBR和Windows三個部分，攻擊流程如下圖：

一、BMW病毒BIOS部分

增加了ISA模塊BIOS部分，名為HOOK.ROM，作用主要是檢測MBR部分是否被恢復。如果發現MBR部分已被修復，就將BIOS內的病毒代碼約 14個扇區寫入MBR中，導致用戶反復格式化、高格低格，或重新分區都無效。

二、BMW病毒MBR部分

MBR部分病毒代碼執行后，會從第2個扇區開始讀6個扇區的病毒代碼到0X7C00處，然后跳至該處執行，然后讀取第7個扇區中的備份 MBR到內存中，驗證扇區的有效性；

通過驗證后，讀取分區表中的引導扇區所在的扇區到 0X7C00處，驗證引導分區的有效性；

通過驗證后，判斷引導分區的類型，目前該病毒支持NTFS和 FAT32，根據不同的分區類型進行不同的處理，再經過解析文件系統找到文件所在扇區，找到相應的Windows系統文件讀取PE信息判斷其是否被感染過。（XP/2003系統為Winlogon.exe，Win7/Vista系統為Wininit.exe）

如果Windows系統文件已被感染，則在屏幕上顯示"Find it OK!"，然后調入原始MBR，跳到原始MBR處執行；如果Windows系統文件沒有被感染，則進行PE感染寫扇區，之后在屏幕上顯示"Find it OK!"，然后調入原始MBR，跳到原始MBR處執行。

三、BMW病毒Windows部分（Winlogon和Wininit文件執行感染）

以Winlogon.exe為例進行說明：

由于病毒修改了該文件入口點，當文件執行時首先執行加密過的病毒代碼，運行時動態解碼。

病毒代碼解密后加載指定文件，創建病毒調用CreateThread創建線程，同時跳回原始入口點執行。

在病毒線程里先Sleep10秒，然后調用URLDownloadToFileA從黑客服務器下載一個Downloader到本地，驗證文件下載成功后，調用WinExec執行，從而下載運行多種惡意程序；該病毒還會下載驅動，命名為c:\my.sys，由之前的病毒代碼通過一系列服務函數來創建加載驅動，完成后該病毒線程進入無限Sleep狀態。