该病毒于六月之后每月的 14 日发作,发作时
电脑出现蓝屏错误信息,显示如下信息:“Virus Warning!Virus name is 'SMASH', project D version 0x0A.Created and compiled by Domitor.”(病毒警告!病毒名称为‘SMASH’,D方案,0x0A版。由Domitor创建编写。)同时病毒会修改 IO.SYS 文件的入口点,然后将电脑挂起。此时用户很可能会按下任意键或试图重启,这就会在无意之中使病毒得以执行,机器将无法使用。
病毒分析
IO.SYS 文件是“实模式”
操作系统文件,其中包含启动计算机所需的信息。通常可在系统
驱动器的根目录下找到该文件。
一旦病毒被启动运行后,该病毒代码就会使用一种所谓的“隧道挖掘法”找到 Interrupt 13 BIOS 项并存储其值以备将来之用。当前的指令指示器值将指向指令执行的地址。“隧道挖掘法”用于追踪中断处理程序以确定在某个地址区域范围执行的时间,此处是指与系统 BIOS存储器相对应的范围。该技术包括与interrupt 1 挂钩 (亦称单步中断)及利用指令每次执行时的中断设置陷阱标记。
一旦找到 Interrupt 13 项,病毒就将利用它执行低级磁盘操作。因为所有低级磁盘操作系统调用直接作用于 BIOS 存储器,所以很难中途阻止。这也意味着某些磁盘保护软件无法保护用户防范该病毒。
找到BIOS interrupt 13 处理程序地址后,病毒将输出下列字符串,每个字符在屏幕上出现时都伴有声音:Formatting hard disk...(正在格式化硬盘……)。
接着病毒将用从系统内存中取出的原IO.SYS文件中的部分覆盖硬盘。它会覆盖系统中出现的第一个硬盘,破坏0到255硬盘磁头内的0到255柱面的2到64扇区的信息。
病毒防范
冠群金辰提醒广大用户,选择使用经过国际多家权威机构认证具备完善实时反病毒、查杀多种压缩文件功能的反病毒软件。
KILL系列防病毒产品的用户应及时到www.kill.com.cn下载最新病毒特征库以保护自己的计算机;或到KILL授权服务中心拷贝最新升级文件。KILL病毒特征库13.24版能够保护用户免遭Win95/Smash攻击。
病毒清除
如果显示蓝屏错误信息时,即用干净的 DOS启动盘或 Windows 95 或 98 启动盘重启机器,计算机还可挽救,具体方法为:
1.将 DOS启动盘或Windows 95 或 98 启动盘插入A驱,选择命令提示的选项。
2.从a: 盘转换到 c: 盘,出现 c:\> 提示后,键入:
c:\windowsdirectory\command\attrib -s -h -r c:\io.sys
(此处 windows directory 是指Windows 95 或98 所在目录——通常为 Win95 or Win98。)
3.如果启动盘上 io.sys 文件与受感染的机器中 Windows 9x属于同一版本,可将 io.sys 文件拷贝到硬盘上。常用命令为(出现 c:\ 提示之后):copy a:\io.sys c:\
4.选择覆盖,然后将属性改回到原来的状态,出现c:\>提示之后,键入以下内容:
c:\windowsdirectory\command\attrib +s +h +r c:\io.sys
* 如果您不确定该启动盘中 io.sys 版本是否正确,安全起见,请从驱动器c: 区中删除io.sys 文件,使机器不用启动盘就无法重启,您的数据也就不会受到损坏。但是要重新启动计算机,仍然需要用拷贝一个相同版本的io.sys文件。常用的删除命令为(出现 c:\ 提示之后):del io.sys
* 如果机器在显示蓝屏错误信息后已重新启动,第一个硬盘将已被垃圾信息覆盖,原来的数据无法恢复。《中关村在线 燕子》
