快速导航×

在 covid-19 还未结束之际，伪装成 covid-22 安装程序的新兴恶意软件已经出现。

FortiGuard Labs 11 月中旬发现，攻击者利用疫情为诱饵，受害者一旦安装 COVID-22 恶意软件，主机将失陷无法启动，属于一种破坏性恶意软件变种。

COVID-22

恶意软件命名为 Covid22，与 COVID-19 的命名保持一致，但与已经爆发的新冠病毒无关。攻击者将用户对这种破坏*毒的恐惧投射到计算机上，表明该病毒可能会在 2025 年大肆传播。

尽管并不清楚恶意软件的确切分布情况，但攻击者在尝试利用恐惧来引诱受害者打开恶意软件。其实恶意软件并不复杂，但攻击者为了让受害者感到恐惧着实下了功夫。

该文件第一次手动运行时，会像正常程序一样询问用户是否想要安装 COVID-22。

△ 运行提示

一旦用户选择继续安装，恶意软件就会在强制重启计算机前释放几个恶意文件。恶意文件的名称非常简单：

Covid22Server.exe 执行释放的 script.txt 的命令。

lol.vbs 会创建一个无限循环的 MessageBox，弹窗显示“你的电脑已经被 COVID-22 病毒感染！静待死机吧！”

△ 弹窗提示

MarsCode

字节跳动旗下的免费AI编程工具

339 查看详情

speakwh.vbs 通过电脑的扬声器循环播放“冠状病毒”。

CoronaPopup.exe 弹出一个窗口，标题为“COVID-22 已经感染电脑！”，并显示冠状病毒的图像。

△ 冠状病毒的图像

ClutterScreen.exe 不断移动像素块把屏幕弄花。

x.vbs 会弹出提示“新冠病毒！”的消息 50 次。

△ 弹窗提示

noescapes.vbs 会弹出提示“无处可逃！”的消息 10 次。

△ 弹窗提示

icon.exe 用红色的 X 号图标填充屏幕。

△ 屏幕填充满的情况

final.vbs 会弹出提示“再见”的消息。

△ 弹窗提示

这些功能通常是用于取笑用户的 Joke 类程序的典型行为，但攻击者不止于此。恶意软件还会执行 WipeMBR.exe 来破坏主引导记录（MBR），执行后将会弹出提示“COVID-22 已经安装完成！和你的电脑永别吧！”的提示并强制重新启动计算机。

△ 重新启动前的弹窗提示

MBR 中保存着硬盘驱动器分区信息和操作系统的加载程序，所以失陷主机也不能在重启的时候正常加载操作系统。对用户来说，值得庆幸的是恶意软件并未破坏或者窃取失陷主机上的任何文件，受害者仍然可以从硬盘上恢复文件。

该恶意软件与 Sonicwall 在 2025 年 4 月中提到的另一个 MBR 擦除器功能类似，但代码上看不出什么相似之处。该恶意软件只是用零覆盖了 MBR：

△ 恶意样本部分代码

如何修复 MBR

现代的 Windows 机器上修复 MBR 相对容易一些，重启后系统会自动进入修复模式。Windows 可以启动自动修复，或者也可以选择手动修复，如 bootrec.exe /fixmbr。

提醒管理员在外部存储上备份数据也很重要，这样才能防止任何文件被加密或者破坏。

IOC代码语言：j*ascript代码运行次数：0运行复制

[Covid22.exe]79f3b39797f0e85d9e537397a6f8966bc288d1b83ae1c313c825fbd17698879e[ClutterScreen.exe]726DC8D52C9CF794412941BFBD27AF8F6FA27E72154A63F5C81A42BA40BD972D[CoronaPopup.exe]80C9F65617386940153CC4D42E1097DEB79B4F9C98C67E6025BDC1CA03AD8FB7[icons.exe]496CABBD18530780A3CB75340BDDD7F74A71E84C83DF4D185CFC6EC71D14C41E[WipeMBR.exe]5FC9080177A096DE2B717F2F2196867B6966900E129E5BC4E412D5DCA7ED9E60[final.vbs]EA2EF4196586BF851D4DC422A04D51AD2CB552BF5AAE2DF361D1ED2D4842B4BA[lol.vbs]C88D3022B25EF86CD19CE99815AD26A1F9A201F69974577DA93E08328E047410[noescapez.vbs]3D519FC10BC2B6CAA5A27069DA55B1614CC97C1DFD4BCDC1DD7F36E686D913F1[x.vbs]E22F004CF9E7C4C7B52BDA59DB2B57816992CB01FDBEF6675760FDD7BCD29728[speakwh.vbs]4624876389F6DDFB111FBBF3473D7C6B5555ED8A0F31C37E822A6FFEF5E27DE0[Covid22Server.exe]0C6DFAA12A98FB17058B79D283E96A3E34549D0AD2BE58F505AC8ABDE858D8A6

参考来源

https://www.fortinet.com/blog/threat-research/to-joke-or-not-to-joke-covid-22-brings-disaster-to-mbr

以上就是COVID-22是假，破坏MBR是真的详细内容，更多请关注其它相关文章！

# 重新启动  # 北京seo搜索栏产品  # 上城区企业网站优化推广  # 青岛模版网站优化  # 昌平淘宝seo  # 私房月饼怎么营销推广  # seo常用的app推荐  # 朝阳网站优化哪家可靠  # 北京seo软件丶乐云seo权威  # 印刷关键词排名效果  # 熊猫seo营销推广方案  # 几个  # 加载  # 的是  # vbscript  # 重启  # 冠状病毒  # 微软  # 会在  # 弹出  # speak  # lol  # win  # 电脑  # 操作系统  # windows  # java  # javascript 

相关栏目： 【 企业资讯168 】 【 行业动态50218 】 【 媒体报道120512 】

相关推荐： 哪些明星在用苹果16  华为交换机如何复制命令行  春运抢票哪里最火热  typescript有哪些版本  笔记本电脑多少钱  为什么学typescript  苹果16改掉了哪些  市盈率tt的扣非是什么意思  划水是什么意思  苹果16如何预购  单片机for循环怎么用  j*a数组对象怎么取  爱奇艺中下载的视频怎么在PPT中播放操作方法  如何把一个命令后台运行  360n6锁屏壁纸怎么设置  虚拟机服务器如何关机命令  苹果16颜色有哪些  如何在命令提示符播放音频  学typescript要求什么  夸克po什么意思  HTML5如何引用typescript  苹果16有哪些黑科技  gs是什么意思  typescript要用什么工具  如何在一串数字前面去掉四位数的命令  如何4k对齐固态硬盘  win7怎么做幻灯片  j*a整形怎么转数组  如何以管理员身份打开cmd命令行窗口  ao3镜像网站永久地址入口  j*a怎么处理json数组  舆论是什么意思  如何在昇腾Ascend 910B上运行Qwen2.5教程  typescript怎么使用vue  ensp命令如何提示  为什么要用typescript6  typescript如何遍历map  如何开发typescript  固态硬盘损坏如何修复  a股等权市盈率中位数是什么意思  楔子是什么意思  如何查看bash内置的命令  雅迪电动车上的power是什么意思  solo交友软件怎么恢复聊天记录  win7怎么装扫描仪  access 如何输入命令  typescript干什么的  使用typescript对团队有什么要求  安全的ao3镜像网站链接入口  交管12123协议头不完整怎么弄