信息安全专家Kaspersy Labs近日宣布,率先截获了全球首例感染MapInfo表格的病毒,该病毒名为"MBA.First", MapInfo是一款非常流行的测绘、地质分析产品。
用户打开MapInfo程序的表格时,MBA.First病毒被激活,开始感染所有MapInfo表格文件。当被感染的计算机到达特定日期时,将修改、删除MapInfo表格文件。
MapInfo产品由MapInfo公司开发,在全球拥有众多用户。用户使用系统自带的名为MapBasic的程序语言,即可开发用户自己的应用程序。
MBA.First病毒是第一例攻击MapInfo测绘程序的病毒,它就是使用MapBasic 语言编写的二进制文件。
卡巴斯基(Kaspersky Anit-Virus)反病毒产品的病毒库已经添加了查杀MBA.First病毒的代码,请广大用户尽快更新病毒代码。
MBA.First病毒介绍
这是首例攻击MapInfo表格的病毒,当用户打开被感染的MapInfo表格时病毒被激活,并迅速感染其他MapInfo表格文件。
该病毒的发作方式是在特定的系统日期破坏MapInfo表格文件。
MapInfo 是什么?
MapInfo是一个地质信息系统,是全球广泛应用的地图、地质分析软件产品。该产品由MapInfo公司开发。MapInfo使用MapBasic程序语言为用户开发定制程序,该系统由MapInfo专业人员使用,并有特定的MapInfo"运行时间"。该产品与微软的Visual Basic非常相似,但它有特定的表格和地图手工工具。
病毒细目:
该病毒使用MapBasic语言编写,并使用MapInfo系统编译成二进制的应用程序。当用户打开被感染的表格文件时,病毒被激活,并感染 MapInfo环境。病毒将自身复制到MapInfo程序目录下(MapInfo的安装目录),更名为0gPiSs1.dll,将'startup.wor'文件改为'startup workspace'。病毒进入startup.wor 文件的开启位置,释放病毒代码,该病毒就在开启MapInfo时加载,自动感染最新编制的MapInfo文件。
当MapInfo程序关闭时,病毒就检测系统时间。病毒发作分两步进行,第一步在星期一是收集现阶段的表格文件名,并删除1%如下后缀的文件: .map、 .tif、 .pcx 或 .jpg。
第二步在恰逢星期五的13日发作,现象如同第一步,只是删除文件量达到14%。另外,病毒重新改写mapinfow.prj 文件,并用俄文(编码- Cyrillic KOI-8R)写下如下代码:
"--- ???ò?é?á?ù ---"
"??ì???á / ?éò??á", 3, 62, 8, -74, 40.5, 40.6666666667, 41.0333333333, 2000000, 100000
此时,病毒将删除所有收集到的表格文件。另外,在.mif文件中增加了病毒代码,并加载了打开表格的命令。
解决方案:
卡巴斯基反病毒产品(Kapsersky Anti-Virus)能够有效清除病毒代码,但不能恢复被病毒删除的文件。您需要从备份中重新恢复丢失的.map、.tif、.pcx和.jpg文件。您还需要从MapInfo程序备份目录或工具包中恢复mapinfow.prj 文件。
