鬼影病毒是指寄生在磁[5]?盤主引導記錄(MBR),即使格式化重裝系統,也無法清除的病毒。該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系[5]?統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裏找不到任何異常,病毒就象“鬼影”壹樣在中毒電腦上“陰魂不散”。
鬼影病毒特征
以前,常聽用戶說,中毒了沒關系,大不了重裝系統。但現在,這句話將成為歷史。3月15日,金山安全實驗室捕獲壹種被命名為“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裏找不到任何異常,病毒就象“鬼影”壹樣在中毒電腦上“陰魂不散”。
顛覆傳統 重裝系統無法清除。金山安全反病毒專家表示,“壹般的電腦病毒是Windows系統下的應用程序,在Windows加載之後才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄(MBR),在電腦啟動過程中先於系統核心程序直接加載到電腦內存中運行。對於已經寄生於MBR中的病毒,安全軟件無法進行攔截。因病毒比安全軟件的啟動還要早。
李鐵軍表示,“鬼影”病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統;全新的病毒技術,突破了普通殺毒軟件的自保護,“鬼影”病毒可以說是壹個具有“劃時代”特征的電腦病毒。
安全軟件失效 電腦明顯變慢。金山安全實驗室的研究人員分析發現,這個“鬼影”病毒是隨某些***享軟件捆綁安裝進入電腦的,目前的日感染電腦約2-3萬臺。“鬼影”病毒入侵後,會釋放驅動程序改寫硬盤MBR(主引導記錄),驅動程序在開機過程中攻擊眾多殺毒軟件,令殺毒軟件失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒後,最直觀的現象是安全軟件無法正常運行,電腦明顯變慢,IE主頁被改。
罕見技術型病毒 源於國外。“鬼影”病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,壹般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在“鬼影”病毒之前,這壹技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說,目前“鬼影”病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。
另據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山安全實驗室正在編寫針對“鬼影”病毒的專殺工具。
金山毒霸已經升級,可查殺傳播“鬼影”病毒的母體文件,避免更多用戶受“鬼影”病毒之害,用戶只需要在線升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神秘的“鬼影”病毒。鬼影病毒分析報告
壹、簡介
該病毒壹旦進入電腦,就像惡魔壹樣,隱藏在系統之外,無文件、無系統啟動項、無進程模塊,比系統運行還早,結束所有殺毒軟件,下載av終結者,盜號木馬,ie主頁修改等大量多品種病毒,最重要的是重裝系統都不能清除該病毒。
二、具體行為
1、該病毒偽裝為某***享軟件,欺騙用戶下載安裝。
病毒文件中包含3部分文件:
A、原正常的***享軟件。
B、“鬼影”病毒,修改系統引導區(mbr),結束殺軟,下載AV終結者病毒。
C、捆綁IE首頁篡改器,修改用戶瀏覽器首頁,桌面添加多余的快捷方式。
2,“鬼影”病毒運行後,會釋放2個驅動到用戶電腦中,並加載。
3,驅動會修改系統的引導區(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
4,病毒母體自刪除。
5,重啟系統後,存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載寫入引導區第五個扇區的b驅動。
6,b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
7,b驅動會下載av終結者到電腦中,並運行。
8,av終結者會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進壹步盜取用戶的虛擬財產。
9、該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。
三、小結
“鬼影”病毒是第壹個引導區下載者病毒,超越了傳統的引導區病毒和下載者病毒,不光做到了三無特性,而且就算用戶重裝了系統,他也會陰魂不散的再次進入用戶新系統,全新的結束手法,突破殺毒軟件的自保護。“鬼影”病毒是壹個劃時代的病毒。鬼影病毒的處理方法
首先當妳已經中了這個病毒了,那麽妳也不用緊張,這個病毒雖然傳說是就算重裝也不能刪除的,這只是方法不對而已。所以才會重裝後病毒還會繼續發作的原因,下面我就告訴大家來治療鬼影病毒的方法。
首先,格式化C盤,再進入dos狀態,運行fdisk/mbr 命令,用以清除掉主引導區的病毒引導代碼,這時候重裝系統就可以了,但是這是在完全安裝起作用的,如果妳用是GHOST安裝系統那麽還要多做以下幾步。
1、通過GHOST系統盤進入PQ/PM分區工具,壹般GHOST系統盤都帶的
2、右擊c盤,選擇進階-設為作用,這樣就把MBR引導層重新寫了壹遍,這樣在引導層中的病毒也自然被剔除了。
3、直接用GHOST系統盤安裝系統就OK了。
病毒清除方法
在WINDOWS時代之所以很少見,並不是因為做不到——早在1998年,CIH就告訴病毒編寫者如何利用驅動技術繞開WINDOWS的核心保護機制——而是因為這麽做的投入產出不成比例。DOS下的自啟動項目很少,病毒要自啟動的話,除了寄生於文件,就只能依靠MBR了;而WINDOWS的自啟動項目實在是太多了,隨便在註冊表裏改壹下,壹般用戶根本看不出來病毒已經啟動,所以沒有人純粹為了壹個自啟動的目的去寫個驅動來改動MBR,這純屬費力不討好。其實從這點就可以看出,寫WINDOWS下的病毒木馬,技術門檻比DOS下要低壹些。
不過這個病毒作者還是有壹點創意:他將存放在磁盤第5扇區的病毒的主要代碼插入到ntldr文件中,這樣就解決了自身代碼在WINDOWS下的加載問題,比寫個中斷服務程序要簡單得多。這壹思路也為真正的BIOS病毒提供了壹個非常好的實現方法。
解決這個病毒的方法其實也很簡單,不過我仍然要提醒壹句硬盤有價 數據無價 別傻呼呼的格式化硬盤,因為這樣並不能修復MBR 而且根本不會改寫MBR DBR DATA這三個區域,最簡單明了的方法 使用windows系統安裝盤自帶的修復功能,按住R 鍵進入修復平臺,稍等片刻-進入命令提示符-輸入帳戶名密碼後 然後在命令提示符下輸入Fixmbr 然後系統提示是否更新MBR主引導記錄選擇 是 並且再輸入Fixboot 修復boot區引導 至此 主引導區已經修復完畢 病毒自然清除 然後用WinPE工具箱進入WinPE系統 殺毒 就可以解決了。鬼影病毒專殺工具
“鬼影”病毒的特征之壹是安全軟件不能正常運行,該病毒目前的累計感染量約30萬臺。若網民發現自己電腦上安裝的安全軟件莫名其妙不能正常運行,常見的修復工具也不能正常運行,請嘗試使用金山安全中心發布的“鬼影”病毒專殺工具檢查修復。
下載地址:
/soft/softdown.asp?softid=60102