鬼影病毒

鬼影病毒介紹

鬼影病毒

• 說明：暫無圖片、照片
• 參考：谷歌圖片搜索
• 上傳：圖片/照片jpg

2010年3月15日，金山安全實驗室捕獲一種被命名為「鬼影」的電腦病毒，該病毒寄生在磁碟主引導記錄（MBR），即使格式化重裝系統，也無法將該病毒清除。當系統再次重啟時，該病毒會早於操作系統內核先行載入。而當病毒成功運行后，在進程中、系統啟動載入項里找不到任何異常。目前「鬼影」病毒只針對Winxp系統，該病毒尚不能破壞Vista和Windows 7系統。

「鬼影」病毒是國內首個引導區下載者病毒，顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢：

• 「三無」特性：無文件、無系統啟動項、無進程模塊。
• 即使用戶重裝了系統，該病毒依然會再次進入用戶新系統。
• 全新的病毒技術，突破了普通殺毒軟體的自保護。

編輯以上介紹 我要留言

鬼影病毒網站

「鬼影」病毒分析

• 簡介：該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，無文件、無系統啟動項、無進程模塊，比系統運行還早，結束所有殺毒軟體，下載av終結者，盜號木馬，ie主頁修改等大量多品種病毒，最重要的是重裝系統都不能清除該病毒。
• 病毒文件中包含部分：
  • 原正常的共享軟體。
  • 「鬼影」病毒，修改系統引導區(mbr)，結束殺軟，下載AV終結者病毒。
  • 捆綁IE首頁篡改器，修改用戶瀏覽器首頁，桌面添加多餘的快捷方式。
• 具體行為：
  1. 該病毒偽裝為某共享軟體，欺騙用戶下載安裝。
  2. 「鬼影」病毒運行后，會釋放2個驅動到用戶電腦中，並載入。
  3. 驅動會修改系統的引導區（mbr)，並將b驅動寫入磁碟，保證病毒是優先於系統啟動，且病毒文件保存在系統之外。這樣進入系統后，病毒載入入內存，但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
  4. 病毒母體自刪除。
  5. 重啟系統后，存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統載入ntldr文件時，插入惡意代碼，使其載入寫入引導區第五個扇區的b驅動。
  6. b驅動載入起來后，會監視系統中的所有進程模塊，若存在安全軟體的進程，直接結束。
  7. b驅動會下載av終結者到電腦中，並運行。
  8. av終結者會修改系統文件，對安全軟體進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。

各類相關信息