神秘「鬼影」病毒襲擊Winxp系統，重灌也無法消滅

神秘「鬼影」病毒襲擊winxp系統，重灌也無法消滅

以前，常聽使用者說，中毒了沒啥，大不了重灌。但現在，這句話將成為歷史。金山安全實驗室捕獲一種被命名為「鬼影」的病毒，該病毒寄生在磁碟主引導記錄（mbr），即使格式化重灌系統，也無法將病毒清除出去。當系統再次重啟時，病毒會早於作業系統核心載入。而當病毒成功執行後，在程序中、系統啟動載入項裡找不到任何母體程式的特徵，病毒就象「鬼影」一樣在中毒電腦上陰魂不散。

病毒特徵：

1.「鬼影」病毒母體執行後，會釋放兩個驅動到使用者電腦中，並載入。和母體病毒**在一起其它流氓軟體會修改桌面快捷方式，嘗試修改ie屬性。

（分析：病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標，便於病毒的真正母體隱藏得更好）

2.a驅動會修改系統的主引導記錄（mbr)，並將b驅動寫入磁碟，保證病毒是優先於系統啟動，且病毒檔案儲存在系統之外。這樣進入系統後，病毒加載入記憶體，但找不到任何啟動項、找不到病毒檔案、在程序中找不到任何程序模組。

（「鬼影」病毒是近年來極為罕見的技術型病毒，病毒作者具有高超的程式設計技巧。因winxp系統的限制，一般手法改寫mbr會被系統判定為非法，這也是引導區病毒接近消亡的重要因素。這種繞過winxp的安全限制，直接改寫mbr的技術一般稱之為mbr-rootkit，主要在國外技術論壇傳播，在「鬼影」病毒之前，這一技術少有被***利用的案例。

）3.病毒母體自刪除。

4.重啟系統後，主引導記錄（mbr）中的惡意**會對windows系統的整個啟動過程進行監控，發現系統載入ntldr檔案時，插入惡意**，使其載入b驅動。

5.b驅動載入起來後，會監視系統中的所有程序模組，若存在安全軟體的程序，直接結束。

8.該病毒只針對winxp系統，尚不能破壞vista和win7系統。

「鬼影」病毒影響力分析

據金山安全實驗室研究人員透露，在目前國內安全廠商和民間反病毒高手中，能夠完整分析「鬼影」病毒的人屈指可數。

因病毒寄生於硬碟的主引導記錄（mbr），病毒釋放的驅動程式能夠破壞大多數安全工具和系統輔助工具，在已經中毒的情況下，很難使用現有工具完成病毒清除，金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。

發現該病毒的艱難歷程

1.金山安全實驗室接到使用者報告防毒軟體被破壞，遠端協助使用者使用多種修復工具、刪除相關的可疑檔案，均無法解決，遠端檢查使用者電腦，未能成功採集病毒樣本。

2.類似案例持續增加，無一例外均未採集到母體病毒樣本，其中讓部分使用者備份資料後，格式化所有分割槽重灌，但該使用者重新系統後，報告中毒現象依舊。

3.嘗試讓使用者回憶最近的上網記錄，發現可疑瀏覽線索

「鬼影」病毒傳播的廣度分析

「鬼影」病毒的未來

該病毒開創了中國惡意軟體編寫的先河，預計該病毒的原始檔將會成為黑色產業鏈中的搶手貨，未來可能會有更多惡意軟體利用「鬼影」病毒的mbr-rootkit首席技術官期駐留使用者電腦。每乙個劃時代的病毒，都會令安全廠商頭疼不已。

「鬼影」病毒的防範

附：相關名詞解釋

mbr（master boot record）,中文意為主引導記錄。電腦通電開機，主機板自檢完成後，被第乙個讀取到的位置。位於硬碟的0磁頭0磁軌1扇區，它的大小是512位元組，不屬於任何乙個作業系統，也不能用作業系統提供的磁碟操作命令來讀取。

dos時代氾濫成災的引導區病毒多寄生於此。

電腦系統開機過程：

開機通電自檢-->主機板bios根據使用者指定的啟動順序從軟盤、硬碟或光碟機進行啟動-->系統bios將主引導記錄(mbr)讀入記憶體。-->控制權交給主引導程式-->檢查分割槽表狀態，尋找活動的分割槽-->主引導程式將控制權交給活動分割槽的引導記錄，由引導記錄載入作業系統啟動檔案。

神秘「鬼影」病毒襲擊Winxp系統，重灌也無法消滅

神秘「鬼影」病毒襲擊Winxp系統，重灌也無法消滅

鬼影病毒處理方法

鬼影病毒分析報告

神秘「鬼影」病毒襲擊Winxp系統，重灌也無法消滅

神秘「鬼影」病毒襲擊Winxp系統，重灌也無法消滅

鬼影病毒處理方法

鬼影病毒分析報告

相關推薦