3月15日,金山安全實驗室捕獲壹種被命名為“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裏找不到任何異常,病毒就象“鬼影”壹樣在中毒電腦上“陰魂不散”。“鬼影”病毒也因此成為國內首個“引導區”下載者病毒。
鬼影病毒特征——重裝系統也殺不掉
以前,常聽用戶說,中毒了沒關系,大不了重裝系統。但現在,這句話將成為歷史。3月15日,金山安全實驗室捕獲壹種被命名為“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裏找不到任何異常,病毒就象“鬼影”壹樣在中毒電腦上“陰魂不散”。
顛覆傳統 重裝系統無法清除
金山安全反病毒專家表示,“壹般的電腦病毒是Windows系統下的應用程序,在Windows加載之後才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄(MBR),在電腦啟動過程中先於系統核心程序直接加載到電腦內存中運行。對於已經寄生於MBR中的病毒,安全軟件無法進行攔截。因病毒比安全軟件的啟動還要早。
李鐵軍表示,“鬼影”病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了“三無”特性——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統;全新的病毒技術,突破了普通殺毒軟件的自保護,“鬼影”病毒可以說是壹個具有“劃時代”特征的電腦病毒。
鬼影病毒防治辦法:
磁盤主引導記錄(MBR)簡介:
MBR(Master Boot Record),中文意為主引導記錄。電腦開機後,主板自檢完成後,被第壹個讀取到的磁盤位置。硬盤的0磁道的第壹個扇區稱為MBR,它的大小是512字節,它是不屬於任何壹個操作系統,也不能用操作系統提供的磁盤操作命令來讀取。DOS時代泛濫成災的引導區病毒多寄生於此。
電腦系統開機過程介紹:
開啟電源開機自檢-->主板BIOS根據用戶指定的啟動順序從軟盤、硬盤或光驅進行啟動-->系統BIOS將主引導記錄(MBR)讀入內存。然後,將控制權交給主引導程序,再檢查分區表的狀態,尋找活動的分區。最後,由主引導程序將控制權交給活動分區的引導記錄,由引導記錄加載操作系統。
鬼影病毒清除方法:
在WINDOWS時代之所以很少見,並不是因為做不到——早在1998年,CIH就告訴病毒編寫者如何利用驅動技術繞開WINDOWS的核心保護機制——而是因為這麽做的投入產出不成比例。DOS下的自啟動項目很少,病毒要自啟動的話,除了寄生於文件,就只能依靠MBR了;而WINDOWS的自啟動項目實在是太多了,隨便在註冊表裏改壹下,壹般用戶根本看不出來病毒已經啟動,所以沒有人純粹為了壹個自啟動的目的去寫個驅動來改動MBR,這純屬費力不討好。其實從這點就可以看出,寫WINDOWS下的病毒木馬,技術門檻比DOS下要低壹些。
不過這個病毒作者還是有壹點創意:他將存放在磁盤第5扇區的病毒的主要代碼插入到ntldr文件中,這樣就解決了自身代碼在WINDOWS下的加載問題,比寫個中斷服務程序要簡單得多。這壹思路也為真正的BIOS病毒提供了壹個非常好的實現方法。
解決這個病毒的方法其實也很簡單,不過我仍然要提醒壹句硬盤有價 數據無價 別傻呼呼的格式化硬盤,因為這樣並不能修復MBR 而且根本不會改寫MBR DBR DATA這三個區域,最簡單明了的方法 使用windows系統安裝盤自帶的修復功能,按住R 鍵進入修復平臺,稍等片刻-進入命令提示符-輸入帳戶名密碼後 然後在命令提示符下輸入Fixmbr 然後系統提示是否更新MBR主引導記錄選擇 是 並且再輸入Fixboot 修復boot區引導 至此 主引導區已經修復完畢 病毒自然清除 然後用WinPE工具箱進入WinPE系統 殺毒 就可以解決了