28 什么是格盘病毒？

2014年12月，一名黑客通过Twitter向韩国水电与核电公司发出警告，要求其停止运行核电站，同时公开了包括两座核电站部分设计图在内的4份压缩文件。这次事件中所用的木马就是格盘病毒——MBR Wiper。

格盘病毒通过发送钓鱼邮件，使用大量的社会工程学诱使受害者打开这些文件，从而感染病毒。格盘病毒分为两部分：一部分是系统的感染程序，另一部分是MBR区的改写程序。系统的感染程序结束用户系统指定进程，删除注册表中“安全模式”相关的项，使系统无法进入安全模式，同时进行映像劫持，在用户执行被劫持的程序时，会运行指定的程序。感染程序还能篡改系统文件，关闭Windows系统文件保护，同时查找安全软件进程，运行后删除自身，利用输入法机制，注入文件到指定进程；MBR区的改写程序主要修改磁盘MBR，该手法常被病毒用于更早地获取控制权，同时查找安全软件进程并终止，最后提升系统权限，查找指定进程，启动指定服务。