RMBD是引导型病一毒,它的传播媒介是软碟,寄生在软碟的引导记录区(以下记作Boot)和硬碟的上引导记录区(以下记作MBB)中。RMBD的危害:

1、对于软碟,它用“修改”后的MBB覆盖Boot,受感染的软碟不再能引导系统。因为受感染的软碟Boot区实际上是修改后的MBB,所以用这样的软碟启动系统,最终仍是从硬碟上启动。因为RMBD覆盖了Boot区,所以使受感染的软碟不能被一些低档机器或低版本的DOS系统所识别。

2、对于几硬碟,感染时它修改MBB,发作时破坏硬碟,零柱而的大部分扇区(0柱面或者有磁轨的4一17扇区,约82%),其中主要FAT(档案分配表)区,对10M硬碟还涉及到DIR(目录区)和DATA(数据区)。

RMBD炮製者改写了主引导记录区,然后用它代替或感染软碟的Boot区,当用这样的硬碟启动系统时,因为ROMBIOS要将Boot调人记忆体O:7COO然后将控制交给Boot,所以也就把控制交给了RMBD!

RMBD得到控制权后:

1、读硬碟主引导区到O:9COO;

2、保留硬碟DOS或活动分区前的隐扇区数到自身O:7COO;

3、将硬碟主引导区后部的“分区表”搬到自身0:7COO;

4、将带有硬碟“分区表”的自身写回硬碟,即完成感染硬碟;

5、修改INTB人口,使对INTB的调用转向自身中的感染体;

6、修改记忆体总量单元的值,然后驻留到记忆体高端9FCO:00一9FFF:FF.

7、修改跳转指令执行原引导过程。

RMBD刚感染到硬碟时并不造成破坏,但它驻留在高端,并截获INT13的调用,也就是说,一旦用带RMBD的软碟引导系统,哪怕引导失败,也已造成对硬碟的感染;若引导成功,那幺系统就成了传播RMBD的工具,因为RMBD截获了对INT13的调用,所以任何对INT13的调用,都将激活RMBD,激活的RMBD将按如左图所示的流程工作。

掌握了RMMD的传播原作用机制,也就有了解除它的方法:

对于软碟,因RMBD破坏了Boot,所以用一个好的相应(版本、厂家)的其它软碟上的Boot覆盖掉RMBD即可,
用DEBUG操作的过程如下:

图1

1、将选好的软碟擂人A驱;

2、C>DEBVG;

3、一L0001;

4、再将带RMBD的软、盘插入A驱;

5、一W0001;

6、一Q

对硬碟,可以修改带毒的主引导区,也就是RMBD中的第十一、十二两个位元组(将“EB,,TE,改为“BF"00",)和写137、138两位元组(将"90","90"改为"00","00"),使RMBD不能传播,也可以用好的主引导区按照RMBD中的分区表修改一下,写回硬碟。

值得指出的是:RMBD採取了自我保护的措施,所以必须用“乾净”的系统盘引导系统后才能清除它。