[lutunhsiang]

一款新發現的bootkit 可感染電腦最底層軟體，且在電腦開機時，Windows作業系統還沒載入前即開始執行，而且至少今年初就已經開始活動。

之前造成為害甚烈的Nemesis惡意軟體套件就有bootkit，雖然它目前只鎖定金融機構，但如果將bootkit的功能加入到普及性的軟體中，更多產業機構將難逃被入侵的威脅。

Bootkit最可怕的地方在於它載入惡意程式的速度比Windows本身載入時間更快，使Windows程序難以辨識出惡意活動，所以移除它更困難，就算重灌作業系統也沒用。它很像NSA攻擊，即使磁碟全部格式化也殺不死，但到目前為止我們知道，大部份情況下攻擊者必須要能滲透到受害對象的硬體才行。如果被它滲透進電腦，這隻純軟體病毒就能安裝在很隱密的角落，永遠不被發現。

bootkit

這隻病毒被安全人員稱為Bootrash，它可感染電腦的主開機紀錄(Master Boot Record, MBR)，後者含關於磁碟分區的基本資訊，以及如何初始化主要磁區的基本程式碼。Nemesis是安裝在磁區之間的空隙，而Bootrash則是在系統啟動時，注入在還在載入中的Windows程序中。在某種程度上，對Windows來說，這個開始時程式碼的集結過程是它執行的基礎，怎料它卻在Windows開始執行之前就變成惡意程式的藏匿所？

唯一能以防毒軟體將bootkit從電腦驅逐出去的方法，是針對所有RAW磁碟內容整批掃瞄，而非掃瞄正在進行中的活動。這是很花時間的事，尤其是大型連網伺服器有太多儲存區可以藏匿，而且這類掃瞄需佔用相當資源及運算時間。大部份掃毒軟體都不會檢查Windows登錄檔(registry)或是由Bootrash建立自我躲藏的虛擬檔案系統中－－防範這類攻擊需要全新的數位安全策略。

奇怪的是，Nemesis作者似乎後來加入反安裝能力，可重建原本的開機程序。這種方法無法移除Nemesis程式碼或回復它在你未用磁碟區中自行建立的小型檔案系統，但卻可以防止Nemesis在開機時執行。為什麼攻擊者會加入自我毀滅的機制沒有人知道，不過可能原因是它將演化成「勒贖軟體(ransomware)」。

要知道，bootkit的目標不只是銀行或信用卡交易紀錄，它們基本上是技術更高超的rootkit，從Sony到美國政府都曾經使用。bootkit比rootkit更難以殺死，但也使駭客無法自圓其說­－你還可以說是出於善意而安裝rootkit，但bootkit則絕對是對使用者有目的而來。任何安裝bootkit的一般企業如果被發現，將可能要付上天價的代價。

不過值得一提的是，如果電腦沒有給bootkit接觸的機會，就不會有事。bootkit可能是高深的超級電腦病毒，但它接觸到目標電腦的方法，則和過去的惡意程式差不多：像是以電子郵件或社交媒體傳送魚叉式網釣訊息來欺騙個人上當。安全產業固然必須發展出更新、更厲害的防範技術，但安全教育及健康的上網習慣更是企業不可或缺的防線，做得愈多，損失愈少。
以上來自:http://news.networkmagazine.com.tw/c...5/12/14/66173/
=================================

怎麼讓我覺得比以前的CIH病毒還要強，我猜此病毒設計者主要是針對企業主與政府機關

這些，一般老百姓我們也沒錢支付你金錢，說真的這種病毒我想國內還沒有造成太大災情