全国免费服务热线

纽约国际娱乐

鬼影病毒百科名片

来源:原创 编辑:admin 时间:2017-05-17 16:15
分享到:

鬼影病毒百科名片

2010年3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如“鬼影”一般“阴魂不散”,所以称为“鬼影”病毒。该病毒也因此成为国内首个“引导区”下载者病毒。

目录

鬼影病毒概念鬼影病毒的来源介绍鬼影病毒的特征电脑感染后可能出现的症状鬼影病毒的工作原理鬼影病毒处理方法WindowsXP下MBRFix配合360安全卫士查杀鬼影病毒的专杀工具展开编辑本段鬼影病毒概念  鬼影[1]病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。编辑本段鬼影病毒的来源介绍  “鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对WinXP系统,该病毒尚不能破坏Vista和Windows 7系统。  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。  金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。编辑本段鬼影病毒的特征无需寄主 结束所有杀毒软件。  该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒。颠覆传统 重装系统无法清除。  一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使用户重装了系统,仍无法将其完全清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性??无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统。安全软件失效 电脑明显变慢  “鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。编辑本段电脑感染后可能出现的症状  1、电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。  2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。目前rpcss.dll,ddraw.dll是盗号木马现在常修改的系统dll。  3、QQ号码被盗,可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。  4、进程中存在iexplor.exe进程并指向一个不正常的网站。  5、现在鬼影共同特征就是进程里有ali.exe  6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式,而且删不掉。编辑本段鬼影病毒的工作原理  鬼影病毒伪装为某共享软件,欺骗用户下载安装。病毒运行后,会释放2个驱动到用户电脑中,并加载。驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。  重启系统后,存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。b驱动会下载av终结者到电脑中,并运行。av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。编辑本段鬼影病毒处理方法重装系统  格式化C盘,进入dos状态,运行fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步:  1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的。  2、 右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。  3、 直接用GHOST系统盘安装系统就OK了。[2]DOS下手动查杀方法  第一步:找专杀工具:这里推荐使用“一键GHOST“,其中的DOS工具箱自带的小工具DISKRW就可以完美解决。  第二步:杀除MBR病毒  1、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”,开机进入一键GHOST,最终出现红色界面时按ESC键退回到主菜单,按方向键选择“DOS工具箱”-->“DISKRW" --> "3.清除" --> "清除(2)“ --> 确定。(注意,尽量使用2010版,更早的版本不能保证有此功能)。  2、修复MBR(关键一步,必须做),纽约国际娱乐,接着下一步,纽约国际娱乐,选择“4.修复”--> “修复(F)“ --> 确定。  第三步:重装或恢复系统。在第二步完成后,千万不要重启电脑进入WINDOWS了,否则会二次感染。正确的方法是,将系统安装光盘放入光驱中,重装系统。或者如果你有本地的系统备份(当然是没感染病毒之前做过的备份),也可以用“一键恢复系统”功能进行恢复。  第四步:全盘杀毒。返回WINDOWS后,需要升级你的杀毒软件到最新版本(最新病毒库),然后进行“全盘查杀”,这样可以把残留在非系统盘(比如D盘、E盘、F盘)里的病毒寄主文件杀掉,以做到“斩草除根”。编辑本段WindowsXP下MBRFix配合360安全卫士查杀  步骤一:开机打开任务管理器,结束(nat.exe)  步骤二:打开360安全卫士,选择系统修复来修复系统  步骤三:在网上下载一个工具(MBRFix),在XP下运行“CMD”进入DOS模式,运行(MBRFix /drive 0 fixmbr /yes)  重启后OK编辑本段鬼影病毒的专杀工具  “鬼影”病毒的特征之一是安全软件不能正常运行,该病毒目前的累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行,常见的修复工具也不能正常运行,请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。目前此工具适用于尚未变种的鬼影病毒,一旦该病毒变种,该专杀将会无效,治理提醒大家要注意上网时的网络防护,要定期开启杀软扫描,目前金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率,结  

合传播病毒的网站流量分析,评估该病毒的日下载量大约为2-3万之间。编辑本段鬼影病毒的未来  鬼影病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。编辑本段最新网吧鬼影病毒介绍  鬼影病毒是指寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”  以下是经过测试可穿透的还原列表:开启驱动防火墙没有测试,此测试只供大家参考  <1>.讯闪全系列还原软件(包括最新版,开启驱动防火墙无法穿透)  <2>.快速还原(包括最新版)  <3>.易速还原(包括最新版)  <4>.极速还原(包括最新版)  <5>.贝壳还原(包括最新版)  <6>.雨过天晴(包括最新版)  <7>.影子系统(包括最新版)  <8>.胜天还原(包括最新版)  <9>.冰点还原(包括最新版)  <10>.还原精灵(包括最新版)  <11>.小哨兵还原卡  <12>.三茗还原卡  <13>.方正磁盘保护器  <14>.360还原保护,大部份防狗补丁,所有品牌电脑公司还原保护(如联想、DELL、SONY、三星等品牌)。病毒特征描述  1.“鬼影”病毒母体运行后,会释放两个驱动到用户电脑中,并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式,尝试修改IE属性。  (分析:病毒传播者这样做的目的可能是为了转移安全厂商的目标,便于病毒的真正母体隐藏得更好)  2.a驱动会修改系统的主引导记录(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。  (“鬼影”病毒是近年来极为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术一般称之为MBR-rootkit,主要在国外技术论坛传播,在 “鬼影”病毒之前,这一技术少有被黑客利用的案例。)  3.病毒母体自删除。  4.重启系统后,主引导记录(MBR)中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载b驱动。  5.b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。  6.b驱动会下载av终结者到电脑中,并运行。  7.下载的av终结者病毒会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。  8.该病毒只针对Winxp系统,尚不能破坏Vista和Win7系统。编辑本段金山查杀后手动善后  开始-运行-msconfig。  1.选择“启动”,把ali前面的勾去掉,单击应用。  2.开始-运行-win.ini,内容已被更改为  [DownLoad]  exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe  exe2=  [ad]  ad1=12  [HomePage]  home=  [Time]  DownLoadIniTime=60  PopAdTime=2  DownLoadLelayTime=1  RunDelayTime=0  FirstRunExeTime=2  FirstPopWidTime=1  cjver=2  cjaddr=  [Link]  Link1=手机图铃|http://66.79.168.187:55325/tuling.html  ing.html  替换为  ; for 16-bit app support  [fonts]  [extensions]  [mci extensions]  [files]  [Mail]  MAPI=1  CMCDLLNAME32=mapi32.dll  CMCDLLNAME=mapi.dll  CMC=1  MAPIX=1  MAPIXVER=1.0.0.1  OLEMessaging=1  [MCI Extensions.BAK]  aif=MPEGVideo  aifc=MPEGVideo  aiff=MPEGVideo  asf=MPEGVideo  asx=MPEGVideo  au=MPEGVideo  m1v=MPEGVideo  m3u=MPEGVideo  mp2=MPEGVideo  mp2v=MPEGVideo  mp3=MPEGVideo  mpa=MPEGVideo  mpe=MPEGVideo  mpeg=MPEGVideo  mpg=MPEGVideo  mpv2=MPEGVideo  snd=MPEGVideo  wax=MPEGVideo  wm=MPEGVideo  wma=MPEGVideo  wmv=MPEGVideo  wmx=MPEGVideo  wpl=MPEGVideo  wvx=MPEGVideo  m2v=MPEGVideo  mod=MPEGVideo  保存,退出最新高危木马“鬼影2”现身  2011年首款高危木马“鬼影2”近日现身网络,电脑一旦中招就会明显变慢、无法打开安全软件、重装系统甚至格式化硬盘也无济于事,危害超过当年的“熊猫烧香”、“?牛”等恶性木马下载器。360安全中心发现,“鬼影2”主要通过捆绑游戏外挂进行传播,对20余款热门网游实施盗号,保守估计该木马至少已攻击了10万台网民电脑。  经360安全中心分析,“鬼影2”木马主要威胁Windows XP系统用户。该木马之所以难以清除,原因在于它采用了三招“组合拳”:第一招,欺骗用户关闭安全软件,“否则就无法达到游戏外挂的透视效果”;第二招,暴力破坏被用户手动关闭的安全软件,使其无法正常工作,并阻止用户重新安装运行主流安全软件;第三招,感染电脑硬盘MBR(主引导记录),使用户无论是重装系统、还是格式化硬盘都无法彻底清除木马。  在整整一年前,专门感染MBR的“鬼影”木马已经出现,然而“鬼影2”比它的原型更为顽固。根据360安全专家石晓虹博士介绍,所有正规安全软件在发布时都带有数字签名,相当于安全软件的“身份证”。“鬼影2”木马恰恰利用了这一点,凡是带着“身份证”的正规安全软件一律阻止运行,包括国内外11家主流安全厂商的产品。  据介绍,“鬼影2”木马典型的中招症状包括:无法安装运行主流安全软件、电脑明显变慢、CF(穿越火线)等20余款热门游戏帐号被盗、任务管理器出现1.tmp等随机数字名称的可疑进程。参考资料1

有盘网吧鬼影病毒穿透的处理方法视频教程  

http://bbs.xkq.com/thread-10011849-1-1.html

2

百度知道-中了鬼影病毒怎么办?  

http://zhidao.baidu.com/question/143248826.html

扩展阅读:1

鬼影专杀工具 http://www.duba.net/zhuansha/264.shtml

2

毒霸木马专杀 http://www.kingsoftduba,纽约国际娱乐.net/www-beike-cn

上一篇:不要轻易和少妇上床:危机是怎样产生的

下一篇:没有了

在线客服
售前咨询
  • 点击这里给我发消息
售后服务
  • 点击这里给我发消息