鬼影病毒是2010年3月15日在金山安全实验室捕获的一种新型的电脑病毒。
简介
定义
鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于
操作系统内核
危害
网民说过:中毒了没关系,重装系统就OK。这句话已经成为历史。因该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒彻底清除。
1、颠覆传统,重装系统无法清除
业界反病毒专家表示,一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。
2、安全软件失效 电脑明显变慢
AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
3、罕见技术型病毒
通过研究发现,电脑在中毒之后,会向整个内网发送大量的ARP欺骗信息,严重威胁网民游戏账户信息的安全,而且极易导致网吧大面积的断网,极大影响了网吧的正常运营。
现象:
1. 系统明显变慢,打开网页很慢
2.杀毒软件打不开了,安全相关的网页打不开了
3.重装系统仍不能清除
4.桌面有个垃圾图标,打开是个色情网站,无法彻底删除
5. 游戏账号被盗了
至少有以上两种现象,则说明可能中了“鬼影”病毒,请下载该专杀进行检测并修复。
如果检测出来不是鬼影病毒。也可以下载360系统急救箱或金山急救箱清除其他木马。
注意:清除该病毒需要修改磁盘主引导记录(MBR),有一定机率导致不能引导系统。
特征
1.“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。
(分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)
2.a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
3.病毒母体自己删除。
4.重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。
5.b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
6.b驱动会下载av终结者到电脑中,并运行。
7.下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统
未来
该病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。