2010年3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。
鬼影病毒概念 鬼影病毒是指寄生在磁[5]盘主引导记录(MBR),上海到福州物流即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。 鬼影病毒特征 以前,常听用户说,中毒了没关系,大不了重装系统。但现在,这句话将成为历史。3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。 颠覆传统 重装系统无法清除 金山安全反病毒专家表示,“一般的电脑病毒是Windows上海到福州运输系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。 李铁军表示,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。 安全软件失效 电脑明显变慢 金山安全实验室的研究人员分析发现,这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程上海到福州物流公司中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。 罕见技术型病毒 源于国外 “鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统。 另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。 金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。 [编辑本段]鬼影病毒专杀工具 “鬼影”病毒的特征之一是安全软件不能正常运行,该病毒目前的累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行,常见的修复工具也不能正常运行,请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。目前此工具适用于尚未变种的鬼影病毒,一旦该病毒变种,该专杀将会无效,治理提醒大家要注意上网是的网络防护,要定期开启杀软扫描,目前金山毒霸已能够杀灭鬼影母体。 [编辑本段]鬼影病毒的未来 [2]该病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR- rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。 鬼影病毒分析报告 一、简介 该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒。 二、具体行为 1、该病毒伪装为某共享软件,欺骗用户下载安装。 病毒文件中包含3部分文件: A、原正常的共享软件。 B、“鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。 C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。 2,“鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。 3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。 4,病毒母体自删除。 5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。 6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。 7,b驱动会下载av终结者到电脑中,并运行。 8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。 9、该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。 三、小结 “鬼影”病毒是第一个引导区下载者病毒,超越了传统的引导区病毒和下载者病毒,不光做到了三无特性,而且就算用户重装了系统,他也会阴魂不散的再次进入用户新系统,全新的结束手法,突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。 [编辑本段]病毒防治办法 MBR(Master Boot Record),中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。 电脑系统开机过程介绍: 开启电源开机自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。 [编辑本段]鬼影病毒的处理方法 关于“鬼影”这个病毒,我不想在这里赘述了,大家可以自己从网上去看一下,我这里只告诉大家怎样去治疗和预防。 首先当你已经中了这个病毒了,那么你也不用紧张,这个病毒虽然传说是就算重装也不能删除的,这只是方法不对而已。所以才会重装后病毒还会继续发作的原因,下面我就告诉大家来治疗鬼影病毒的方法。 首先,格式化C盘,再进入dos状态,运行fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步。 1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的 2、 右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。 3、 直接用GHOST系统盘安装系统就OK了。[4] 病毒清除方法 在WINDOWS时代之所以很少见,并不是因为做不到——早在1998年,CIH就告诉病毒编写者如何利用驱动技术绕开WINDOWS的核心保护机制——而是因为这么做的投入产出不成比例。DOS下的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠MBR了;而WINDOWS的自启动项目实在是太多了,随便在注册表里改一下,一般用户根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动MBR,这纯属费力不讨好。其实从这点就可以看出,写WINDOWS下的病毒木马,技术门槛比DOS下要低一些。 不过这个病毒作者还是有一点创意:他将存放在磁盘第5扇区的病毒的主要代码插入到ntldr文件中,这样就解决了自身代码在WINDOWS下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的BIOS病毒提供了一个非常好的实现方法。 解决这个病毒的方法其实也很简单,不过我仍然要提醒一句硬盘有价 数据无价 别傻呼呼的格式化硬盘,因为这样并不能修复MBR 而且根本不会改写MBR DBR DATA这三个区域,最简单明了的方法 使用windows系统安装盘自带的修复功能,按住R 键进入修复平台,稍等片刻-进入命令提示符-输入帐户名密码后 然后在命令提示符下输入Fixmbr 然后系统提示是否更新MBR主引导记录选择 是 并且再输入Fixboot 修复boot区引导 至此 主引导区已经修复完毕 病毒自然清除 然后用WinPE工具箱进入WinPE系统 杀毒 就可以解决了。 DOS下手动查杀方法
第一步:找专杀工具 其实现在并没有十分有效的专杀工具,因为病毒采用的是DOS时代古老手法,一般杀毒软件只能工作于WINDOWS下,是不能根治的。这里推荐使用“一键GHOST“,其中的DOS工具箱自带的小工具DISKRW就可以完美解决。 第二步:杀除MBR病毒 1、清除MBR以外的硬盘保留扇区。(这一步我不能保证真的管用,反正用了更保险。) 安装或制作好“一键GHOST”,开机进入一键GHOST,最终出现红色界面时按ESC键退回到主菜单,按方向键选择“DOS工具箱”-->“DISKRW" --> "3.清除" --> "清除(2)“ --> 确定。(注意,尽量使用2010版,更早的版本不能保证有此功能)。 2、修复MBR(关键一步,必须做) 接着上一步,选择“4.修复”--> “修复(F)“ --> 确定。 第三步:重装或恢复系统 在第二步完成后,千万不要重启电脑进入WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用“一键恢复系统”功能进行恢复。 第四步:全盘杀毒 返回WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行“全盘查杀”,这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草除根”。 与网络流行方法的比较: 1、清除MBR时,网络流行FDISK /MBR法,这个方法早就过时了,一个原因是无识别大硬盘,另外因为写入的是WIN98的MBR的代码,兼容性不好(启动失败),不如用我上面提到的DISKRW的修复MBR功能进行修复,因为DISKRW自带的WINXP的MBR代码,兼容性好。 2、网络还流行MHDD的ERASE法,这个更不安全了,因为是将硬盘全部低格,硬盘上的数据将全部丢失,所以最不可取。而我上面提到的方法是不破坏D盘及以后分区的数据的,最多仅需要重装C盘或恢复C盘。 |