鬼影病毒

鬼影病毒介绍

鬼影病毒

• 说明：暂无图片、照片
• 参考：谷歌图片搜索
• 上传：图片/照片jpg

2010年3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常。目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows 7系统。

“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势：

• “三无”特性：无文件、无系统启动项、无进程模块。
• 即使用户重装了系统，该病毒依然会再次进入用户新系统。
• 全新的病毒技术，突破了普通杀毒软件的自保护。

编辑以上介绍 我要留言

鬼影病毒网站

“鬼影”病毒分析

• 简介：该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒，最重要的是重装系统都不能清除该病毒。
• 病毒文件中包含部分：
  • 原正常的共享软件。
  • “鬼影”病毒，修改系统引导区(mbr)，结束杀软，下载AV终结者病毒。
  • 捆绑IE首页篡改器，修改用户浏览器首页，桌面添加多余的快捷方式。
• 具体行为：
  1. 该病毒伪装为某共享软件，欺骗用户下载安装。
  2. “鬼影”病毒运行后，会释放2个驱动到用户电脑中，并加载。
  3. 驱动会修改系统的引导区（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
  4. 病毒母体自删除。
  5. 重启系统后，存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载写入引导区第五个扇区的b驱动。
  6. b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
  7. b驱动会下载av终结者到电脑中，并运行。
  8. av终结者会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

各类相关信息