簡介
與其他引導區型病毒一樣,米氏病毒也是駐留記憶體的,占640KB之內的2KB高端記憶體。感染軟碟的DOS引導扇區和硬碟的主引導扇區。對高密度和低密度的軟碟上,米氏病毒在感染時,都將原引導扇區回寫到軟碟中,但扇區位置是不一樣的。在360KB的低密軟碟上,原引導扇區被覆蓋寫到根目錄的最後一個扇區,與大麻病毒的方法是一樣的。但對高密的1.2MB軟碟,原引導扇區被寫到第27扇區,落在根目錄中,因此會造成損失。硬碟的主引導扇區也像大麻病毒一樣被寫到0面0道7扇區。
當3月6日啟動PC機,米氏病毒將會發作,除了像本來一樣進行傳染外,還將把硬碟和當時插在軟碟機中的軟碟數據破壞掉。這種故意破壞性寫盤的病毒就是惡性病毒。米氏病毒在PC機用戶中造成的影響是巨大的。每當3月6日來臨時,世界各國的報刊和電台就發布訊息警告使用PC機的人們,要么在那天不要開機,要么把電腦的日期調過3月6日,以避免由米氏病毒造成的損失。
經分析,米氏病毒只在從磁碟引導期間才判斷日期,以決定是否發作。對連續用機,在3月6日整天不需要啟動的電腦。它是沒有機會發作的。
判斷方法
判斷電腦是否染有米氏病毒的方法與判斷是否染有其他引導區型病毒的方法一樣,判斷記憶體總可用RAM記憶體數是否比正常值有減少,引導扇區內容與正常內容相比是否有變化。
引導型病毒
此外,還有一些引導型病毒如下:
Pakistani Brain(巴基斯坦大腦)
這是一種最流行的引導扇區病毒,它首先把原始的引導信息移動到磁碟的其他部分,然後將自己拷貝到引導扇區和磁碟其他的空閒部分。這種病毒破壞了硬碟分區和檔案定位數,使用戶無法訪問檔案。Pakistani Brain和其他的引導扇區病毒知道如何保護自己,它有許多辦法可以逃避檢測,所以這種病毒是比較難對付的
Stoned(石頭)
它是另一廣泛傳播的引導扇區病毒,它會顯示訊息“Your PC is Stoned-LeGALIZE MARIJVANA”並同時破壞目錄和檔案分配表。
ExeBug
它是一族引導型、分體式Stealth型病毒,它掛接Int 15h,病毒自身存放於硬碟MBR和軟碟boot扇區。分體式病毒在EXE檔案頭只存放一個引導部分(dropper),其他的病毒在EXE檔案頭覆蓋一段特伊木馬程式。運行感染的檔案會刪除硬碟某些扇區。這種病毒傳播是依靠引導,而實施破壞是依靠感染的檔案,屬於惡性病毒。
“ExeBug.a”,對於極少有缺陷的老版本BIOS,該病毒能夠在使用乾淨的軟碟引導後仍然激活該病毒。該病毒修改CMOS數據令系統找不到軟碟機,而只有病毒激活時,軟碟機才能夠使用。這個機理是很精明的,當用戶試圖用乾淨的軟碟機啟動電腦的時候,系統發現軟碟機不存在,很可能就(因為設定引導順序為A:,C:)從硬碟啟動,病毒就被激活了,然後開放軟碟機,繼續傳播病毒。這樣,系統就總有病毒存在。
“ExeBug.d”掛接Int 1Ch,可能是占用兩個扇區。“ExeBug.Hooker”在EXE檔案頭覆蓋一段包含“HOOKER”的特洛伊木馬程式。
Monkey是一種引導型病毒,一旦硬碟中了此毒,硬碟的partition table會被Monkey移到第0軌第2磁區的位置並加以編碼(編碼方式是做XOR 2E),而原放置分區表這個磁區就被Monkey的程式頭占據,所以如果用一個沒毒的軟碟啟動,就會發現硬碟不見了,如果你改用硬碟啟動則硬碟又重新出現了。