這篇是江明達人發表的,藤也花了點時間去看相關新聞,格友們充充電唄!
[3] 3月15日,金山安全實驗室捕獲一種被命名為「鬼影」的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裡找不到任何異常,病毒就像「鬼影」一樣在中毒電腦上「陰魂不散」。「鬼影」病毒也因此成為國內首個「引導區」下載者病毒。
鬼影病毒特徵——重裝系統也殺不掉
以前,常聽用戶說,中毒了沒關係,大不了重裝系統。但現在,這句話將成為歷史。3月15日,金山安全實驗室捕獲一種被命名為「鬼影」的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啟動加載項裡找不到任何異常,病毒就像「鬼影」一樣在中毒電腦上「陰魂不散」。
顛覆傳統 重裝系統無法清除
金山安全反病毒專家表示,「一般的電腦病毒是Windows系統下的應用程序,在Windows加載之後才運行。而「鬼影」病毒的主要代碼是寄生在硬盤的主引導記錄(MBR),在電腦啟動過程中先於系統核心程序直接加載到電腦內存中運行。對於已經寄生於MBR中的病毒,安全軟件無法進行攔截。因病毒比安全軟件的啟動還要早。
李鐵軍表示,「鬼影」病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了「三無」特性——無文件、無系統啟動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統;全新的病毒技術,突破了普通殺毒軟件的自保護,「鬼影」病毒可以說是一個具有「劃時代」特徵的電腦病毒。
安全軟件失效 電腦明顯變慢
金山安全實驗室的研究人員分析發現,這個「鬼影」病毒是隨某些共享軟件捆綁安裝進入電腦的,目前的日感染電腦約2-3萬台。「鬼影」病毒入侵後,會釋放驅動程序改寫硬盤MBR(主引導記錄),驅動程序在開機過程中攻擊眾多殺毒軟件,令殺毒軟件失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒後,最直觀的現象是安全軟件無法正常運行,電腦明顯變慢,IE主頁被改。
罕見技術型病毒 源於國外
「鬼影」病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在「鬼影」病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說,目前「鬼影」病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。
另據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析「鬼影」病毒的人屈指可數。因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。
金山毒霸已經升級,可查殺傳播「鬼影」病毒的母體文件,避免更多用戶受「鬼影」病毒之害,用戶只需要在線升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神秘的「鬼影」病毒。
最新鬼影病毒專殺工具
「鬼影」病毒的特徵之一是安全軟件不能正常運行,該病毒目前的累計感染量約30萬台。若網民發現自己電腦上安裝的安全軟件莫名其妙不能正常運行,常見的修復工具也不能正常運行,請嘗試使用金山安全中心發佈的「鬼影」病毒專殺工具檢查修復。
「鬼影」病毒的未來:
[2]該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用「鬼影」病毒的MBR- rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。
「鬼影」病毒分析報告
一、簡介
該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,無文件、無系統啟動項、無進程模塊,比系統運行還早,結束所有殺毒軟件,下載av終結者,盜號木馬,ie主頁修改等大量多品種病毒,最重要的是重裝系統都不能清除該病毒。
二、具體行為
1、該病毒偽裝為某共享軟件,欺騙用戶下載安裝。
病毒文件中包含3部分文件:
A、原正常的共享軟件。
B、「鬼影」病毒,修改系統引導區(mbr),結束殺軟,下載AV終結者病毒。
C、捆綁IE首頁篡改器,修改用戶瀏覽器首頁,桌面添加多餘的快捷方式。
2,「鬼影」病毒運行後,會釋放2個驅動到用戶電腦中,並加載。
3,驅動會修改系統的引導區(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啟動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啟動項、找不到病毒文件、在進程中找不到任何進程模塊。
4,病毒母體自刪除。
5,重啟系統後,存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載寫入引導區第五個扇區的b驅動。
6,b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
7,b驅動會下載av終結者到電腦中,並運行。
8,av終結者會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
三、小結
「鬼影」病毒是第一個引導區下載者病毒,超越了傳統的引導區病毒和下載者病毒,不光做到了三無特性,而且就算用戶重裝了系統,他也會陰魂不散的再次進入用戶新系統,全新的結束手法,突破殺毒軟件的自保護。「鬼影」病毒是一個劃時代的病毒。
病毒防治辦法:
磁盤主引導記錄(MBR)簡介:
MBR(Master Boot Record),中文意為主引導記錄。電腦開機後,主板自檢完成後,被第一個讀取到的磁盤位置。硬盤的0磁道的第一個扇區稱為MBR,它的大小是512字節,它是不屬於任何一個操作系統,也不能用操作系統提供的磁盤操作命令來讀取。DOS時代氾濫成災的引導區病毒多寄生於此。
電腦系統開機過程介紹:
開啟電源開機自檢-->主板BIOS根據用戶指定的啟動順序從軟盤、硬盤或光驅進行啟動-->系統BIOS將主引導記錄(MBR)讀入內存。然後,將控制權交給主引導程序,再檢查分區表的狀態,尋找活動的分區。最後,由主引導程序將控制權交給活動分區的引導記錄,由引導記錄加載操作系統。
鬼影病毒的正確處理方法:
關於「鬼影」這個病毒,我不想在這裡敖述了,大家可以自己從網上去看一下,我這裡只告訴大家怎樣去治療和預防。
首先當你已經中了這個病毒了,那麼你也不用緊張,這個病毒雖然傳說是就算重裝也不能刪除的,這只是方法不對而已。所以才會重裝後病毒還會繼續發作的原因,下面我就告訴大家來治療鬼影病毒的方法。
首先,格式化C盤,再進入dos狀態,運行fdisk/mbr 命令,用以清除掉主引導區的病毒引導代碼,這時候重裝系統就可以了,但是這是在完全安裝起作用的,如果你用是GHOST安裝系統那麼還要多做以下幾步。
1、通過GHOST系統盤進入PQ/PM分區工具,一般GHOST系統盤都帶的
2、 右擊c盤,選擇進階-設為作用,這樣就把MBR引導層重新寫了一遍,這樣在引導層中的病毒也自然被剔除了。
3、 直接用GHOST系統盤安裝系統就OK了。[4]
病毒清除方法:
在WINDOWS時代之所以很少見,並不是因為做不到——早在1998年,CIH就告訴病毒編寫者如何利用驅動技術繞開WINDOWS的核心保護機制——而是因為這麼做的投入產出不成比例。DOS下的自啟動項目很少,病毒要自啟動的話,除了寄生於文件,就只能依靠MBR了;而WINDOWS的自啟動項目實在是太多了,隨便在註冊表裡改一下,一般用戶根本看不出來病毒已經啟動,所以沒有人純粹為了一個自啟動的目的去寫個驅動來改動MBR,這純屬費力不討好。其實從這點就可以看出,寫WINDOWS下的病毒木馬,技術門檻比DOS下要低一些。
不過這個病毒作者還是有一點創意:他將存放在磁盤第5扇區的病毒的主要代碼插入到ntldr文件中,這樣就解決了自身代碼在WINDOWS下的加載問題,比寫個中斷服務程序要簡單得多。這一思路也為真正的BIOS病毒提供了一個非常好的實現方法。
解決這個病毒的方法其實也很簡單,不過我仍然要提醒一句硬盤有價 數據無價 別傻呼呼的格式化硬盤,因為這樣並不能修復MBR 而且根本不會改寫MBR DBR DATA這三個區域,最簡單明瞭的方法 使用windows系統安裝盤自帶的修復功能,按住R 鍵進入修復平台,稍等片刻-進入命令提示符-輸入帳戶名密碼後 然後在命令提示符下輸入Fixmbr 然後系統提示是否更新MBR主引導記錄選擇 是 並且再輸入Fixboot 修復boot區引導 至此 主引導區已經修復完畢 病毒自然清除 然後用WinPE工具箱進入WinPE系統 殺毒 就可以解決了。
**********************************************************************
根據江民非官方說法:
確實很多用戶認為染毒之後只需重裝系統就OK了!這種觀點完全是錯誤的認識要是染上盜號木馬(是目前數量最多的一類病毒)在重裝系統之前您的重要的帳號早就有可能被黑客盜竊了。
防範病毒才是最關鍵不是等到染上病毒後再查殺病毒或重裝系統已經太晚了,要是染上引導型病毒重裝系統也沒用,這類病毒又不是新的病毒類型是很老的病毒類型。目前此病毒只影響XP系統,安裝了江民殺毒軟件的用戶沒必要恐慌。
實際上BUPT病毒就是非常典型的引導型病毒
http://www.jiangmin.com/News/jiangmin/virusinfo/skill/200211199573.htm
目前筆者尚未遭遇類似案例,但根據經驗,如果使用者發現自己的電腦有上述的病況出現,最好是開啟bootscan功能,重新開機讓他完整掃描一次,以確保病毒能得以清除!
鬼影专杀工具下载
留言列表