鬼影病毒
出自18dao
鬼影病毒介绍
- 上传:图片/照片jpg
2010年3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常。目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统。
“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势:
- “三无”特性:无文件、无系统启动项、无进程模块。
- 即使用户重装了系统,该病毒依然会再次进入用户新系统。
- 全新的病毒技术,突破了普通杀毒软件的自保护。
鬼影病毒网站
“鬼影”病毒分析
- 简介:该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒。
- 病毒文件中包含部分:
- 原正常的共享软件。
- “鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。
- 捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。
- 具体行为:
- 该病毒伪装为某共享软件,欺骗用户下载安装。
- “鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。
- 驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
- 病毒母体自删除。
- 重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。
- b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。
- b驱动会下载av终结者到电脑中,并运行。
- av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
各类相关信息
更多
别名
暂无。
分类
关于“鬼影病毒”的留言:
目前暂无留言
移动版