鬼影病毒特徵——重灌系統也殺不掉 以前,常聽使用者說,中毒了沒關係,大不了重灌系統。但現在,這句話將成為歷史。3月15日,金山安全實驗室捕獲一種被命名為「鬼影」的電腦病毒,該病毒寄生在磁碟主引導記錄(mbr),即使格式化重灌系統,也無法將該病毒清除。當系統再次重啟時,該病毒會早於作業系統核心先行載入。而當病毒成功執行後,在程序中、系統啟動載入項裡找不到任何異常,病毒就象「鬼影」一樣在中毒電腦上「陰魂不散」。
顛覆傳統 重灌系統無法清除
金山安全反病毒專家表示,「一般的電腦病毒是windows系統下的應用程式,在 windows載入之後才執行。而「鬼影」病毒的主要**是寄生在硬碟的主引導記錄(mbr),在電腦啟動過程中先於系統核心程式直接載入到電腦記憶體中執行。對於已經寄生於mbr中的病毒,安全軟體無法進行攔截。因病毒比安全軟體的啟動還要早。
安全軟體失效 電腦明顯變慢
罕見技術型病毒 源於國外
「鬼影」病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的程式設計技巧。因winxp系統的限制,一般手法改寫mbr會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過winxp的安全限制,直接改寫mbr的技術主要在國外技術論壇傳播,在「鬼影」病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說,目前「鬼影」病毒只針對winxp系統,該病毒尚不能破壞vista和windows 7系統。
另據金山安全實驗室研究人員透露,在目前國內安全廠商和民間反病毒高手中,能夠完整分析「鬼影」病毒的人屈指可數。因病毒寄生於硬碟的主引導記錄(mbr),病毒釋放的驅動程式能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除,金山安全實驗室正在編寫針對「鬼影」病毒的專殺工具。
「鬼影」病毒分析報告
一、簡介
二、具體行為
病毒檔案中包含3部分檔案:
a、原正常的共享軟體。
c、**ie首頁篡改器,修改使用者瀏覽器首頁,桌面新增多餘的快捷方式。
2,「鬼影」病毒執行後,會釋放2個驅動到使用者電腦中,並載入。
3,驅動會修改系統的引導區(mbr),並將b驅動寫入磁碟,保證病毒是優先於系統啟動,且病毒檔案儲存在系統之外。這樣進入系統後,病毒加載入記憶體,但找不到任何啟動項、找不到病毒檔案、在程序中找不到任何程序模組。
4,病毒母體自刪除。
5,重啟系統後,存在在引導區中的惡意**會對windows系統的整個啟動過程進行監控,發現系統載入ntldr檔案時,插入惡意**,使其載入寫入引導區第五個扇區的b驅動。
6,b驅動載入起來後,會監視系統中的所有程序模組,若存在安全軟體的程序,直接結束。
三、小結
病毒防治辦法:
磁碟主引導記錄(mbr)簡介:
mbr(master boot record),中文意為主引導記錄。電腦開機後,主機板自檢完成後,被第乙個讀取到的磁碟位置。硬碟的0磁軌的第乙個扇區稱為mbr,它的大小是512位元組,它是不屬於任何乙個作業系統,也不能用作業系統提供的磁碟操作命令來讀取。dos時代氾濫成災的引導區病毒多寄生於此。
電腦系統開機過程介紹:
開啟電源開機自檢-->主機板bios根據使用者指定的啟動順序從軟盤、硬碟或光碟機進行啟動-->系統bios將主引導記錄(mbr)讀入記憶體。然後,將控制權交給主引導程式,再檢查分割槽表的狀態,尋找活動的分割槽。最後,由主引導程式將控制權交給活動分割槽的引導記錄,由引導記錄載入作業系統。
[color=red] 病毒清除方法:[/color]
在windows時代之所以很少見,並不是因為做不到——早在2023年,cih就告訴病毒編寫者如何利用驅動技術繞開windows的核心保護機制 ——而是因為這麼做的投入產出不成比例。dos下的自啟動專案很少,病毒要自啟動的話,除了寄生於檔案,就只能依靠mbr了;而windows的自啟動專案實在是太多了,隨便在登錄檔裡改一下,一般使用者根本看不出來病毒已經啟動,所以沒有人純粹為了乙個自啟動的目的去寫個驅動來改動mbr,這純屬費力不討好。其實從這點就可以看出,寫windows下的病毒木馬,技術門檻比dos下要低一些。
不過這個病毒作者還是有一點創意:他將存放在磁碟第5扇區的病毒的主要**插入到 ntldr檔案中,這樣就解決了自身**在windows下的載入問題,比寫個中斷服務程式要簡單得多。這一思路也為真正的bios病毒提供了乙個非常好的實現方法。
解決這個病毒的方法其實也很簡單,不過我仍然要提醒一句硬碟有價 資料無價 別傻呼呼的格式化硬碟,因為這樣並不能修復mbr 而且根本不會改寫mbr dbr data這三個區域,最簡單明瞭的方法 使用windows系統安裝盤自帶的修復功能,按住r 鍵進入修復平台,稍等片刻-進入命令提示符-輸入帳戶名密碼後 然後在命令提示符下輸入fixmbr 然後系統提示是否更新mbr主引導記錄選擇 是 並且再輸入fixboot 修復boot區引導 至此 主引導區已經修復完畢 病毒自然清除 然後用winpe工具箱進入winpe系統 防毒 就可以解決了
轉於
神秘「鬼影」病毒襲擊Winxp系統,重灌也無法消滅
神秘 鬼影 病毒襲擊winxp系統,重灌也無法消滅 以前,常聽使用者說,中毒了沒啥,大不了重灌。但現在,這句話將成為歷史。金山安全實驗室捕獲一種被命名為 鬼影 的病毒,該病毒寄生在磁碟主引導記錄 mbr 即使格式化重灌系統,也無法將病毒清除出去。當系統再次重啟時,病毒會早於作業系統核心載入。而當病毒...
神秘「鬼影」病毒襲擊Winxp系統,重灌也無法消滅
神秘 鬼影 病毒襲擊winxp系統,重灌也無法消滅 以前,常聽使用者說,中毒了沒啥,大不了重灌。但現在,這句話將成為歷史。金山安全實驗室捕獲一種被命名為 鬼影 的病毒,該病毒寄生在磁碟主引導記錄 mbr 即使格式化重灌系統,也無法將病毒清除出去。當系統再次重啟時,病毒會早於作業系統核心載入。而當病毒...
重灌系統都殺不掉的十大病毒
最近國內出現一種名叫諜影的電腦病毒,它寄生在主機板bios晶元裡,生命力極其頑強,無論重灌系統,還是格式化硬碟,都無法把諜影病毒殺掉。重灌系統也殺不掉的十大病毒盤點 bios病毒 bios是電腦基本輸入輸出系統,安裝在計算機主機板的晶元上,提供最底層的 最直接的硬體設定和控制。這是乙個格式化硬碟也無...