3月15日，金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒，該病毒寄生在磁碟主引導記錄（MBR），即使格式化重灌系統，也無法將該病毒清除。當系統再次重啟時，該病毒會早於作業系統核心先行載入。而當病毒成功運行後，在進程中、系統啟動載入項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。“鬼影”病毒也因此成為國內首個“引導區”下載者病毒。
鬼影病毒特徵——重灌系統也殺不掉
以前，常聽用戶說，中毒了沒關係，大不了重灌系統。但現在，這句話將成為歷史。3月15日，金山安全實驗室捕獲一種被命名為“鬼影”的電腦病毒，該病毒寄生在磁碟主引導記錄（MBR），即使格式化重灌系統，也無法將該病毒清除。當系統再次重啟時，該病毒會早於作業系統核心先行載入。而當病毒成功運行後，在進程中、系統啟動載入項里找不到任何異常，病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。
顛覆傳統 重灌系統無法清除
金山安全反病毒專家表示，“一般的電腦病毒是Windows系統下的應用程式，在Windows載入之後才運行。而“鬼影”病毒的主要代碼是寄生在硬碟的主引導記錄（MBR）,在電腦啟動過程中先於系統核心程式直接載入到電腦記憶體中運行。對於已經寄生於MBR中的病毒，安全軟體無法進行攔截。因病毒比安全軟體的啟動還要早。
李鐵軍表示，“鬼影”病毒是國內首個引導區下載者病毒，顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢，不僅做到了“三無”特性——無檔案、無系統啟動項、無進程模組，而且即使用戶重裝了系統，該病毒依然會再次進入用戶新系統；全新的病毒技術，突破了普通防毒軟體的自保護，“鬼影”病毒可以說是一個具有“劃時代”特徵的電腦病毒。
安全軟體失效 電腦明顯變慢
金山安全實驗室的研究人員分析發現，這個“鬼影”病毒是隨某些共享軟體捆綁安裝進入電腦的，目前的日感染電腦約2-3萬台。“鬼影”病毒入侵後，會釋放驅動程式改寫硬碟MBR（主引導記錄），驅動程式在開機過程中攻擊眾多防毒軟體，令防毒軟體失效，再下載傳統的AV終結者木馬下載器，最終目的依然是通過傳播盜號木馬，竊取用戶虛擬財產牟利。中毒後，最直觀的現象是安全軟體無法正常運行，電腦明顯變慢，IE主頁被改。
罕見技術型病毒 源於國外
“鬼影”病毒是近年來較為罕見的技術型病毒，病毒作者具有高超的編程技巧。因WinXP系統的限制，一般手法改寫MBR會被系統判定為非法，這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制，直接改寫MBR的技術主要在國外技術論壇傳播，在“鬼影”病毒之前，這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說，目前“鬼影”病毒只針對Winxp系統，該病毒尚不能破壞Vista和Windows 7系統。
另據金山安全實驗室研究人員透露，在目前國內安全廠商和民間反病毒高手中，能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生於硬碟的主引導記錄（MBR），病毒釋放的驅動程式能夠破壞大多數安全工具和系統輔助工具，在已經中毒的情況下，很難使用現有工具完成病毒清除，金山安全實驗室正在編寫針對“鬼影”病毒的專殺工具。
金山毒霸已經升級，可查殺傳播“鬼影”病毒的母體檔案，避免更多用戶受“鬼影”病毒之害，用戶只需要線上升級即可獲得相應防禦能力。金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表，防止更多用戶下載這個神秘的“鬼影”病毒。
“鬼影”病毒分析報告
一、簡介
該病毒一旦進入電腦，就像惡魔一樣，隱藏在系統之外，無檔案、無系統啟動項、無進程模組，比系統運行還早，結束所有防毒軟體，下載av終結者，盜號木馬，ie主頁修改等大量多品種病毒，最重要的是重灌系統都不能清除該病毒。
二、具體行為
1、該病毒偽裝為某共享軟體，欺騙用戶下載安裝。
病毒檔案中包含3部分檔案：
A、原正常的共享軟體。
B、“鬼影”病毒，修改系統引導區(mbr)，結束殺軟，下載AV終結者病毒。
C、捆綁IE首頁篡改器，修改用戶瀏覽器首頁，桌面添加多餘的捷徑。
2，“鬼影”病毒運行後，會釋放2個驅動到用戶電腦中，並載入。
3，驅動會修改系統的引導區（mbr)，並將b驅動寫入磁碟，保證病毒是優先於系統啟動，且病毒檔案保存在系統之外。這樣進入系統後，病毒載入入記憶體，但找不到任何啟動項、找不到病毒檔案、在進程中找不到任何進程模組。
4，病毒母體自刪除。
5，重啟系統後，存在在引導區中的惡意代碼會對windows系統的整個啟動過程進行監控，發現系統載入ntldr檔案時，插入惡意代碼，使其載入寫入引導區第五個扇區的b驅動。
6，b驅動載入起來後，會監視系統中的所有進程模組，若存在安全軟體的進程，直接結束。
7，b驅動會下載av終結者到電腦中，並運行。
8，av終結者會修改系統檔案，對安全軟體進程添加大量的映像劫持，下載大量的盜號木馬。進一步盜取用戶的虛擬財產。
三、小結
“鬼影”病毒是第一個引導區下載者病毒，超越了傳統的引導區病毒和下載者病毒，不光做到了三無特性，而且就算用戶重裝了系統，他也會陰魂不散的再次進入用戶新系統，全新的結束手法，突破防毒軟體的自保護。“鬼影”病毒是一個劃時代的病毒。
磁碟主引導記錄（MBR）簡介：
MBR（Master Boot Record）,中文意為主引導記錄。電腦開機後，主機板自檢完成後，被第一個讀取到的磁碟位置。硬碟的0磁軌的第一個扇區稱為MBR，它的大小是512位元組，它是不屬於任何一個作業系統，也不能用作業系統提供的磁碟操作命令來讀取。DOS時代泛濫成災的引導區病毒多寄生於此。
電腦系統開機過程介紹：
開啟電源開機自檢-->主機板BIOS根據用戶指定的啟動順序從軟碟、硬碟或光碟機進行啟動-->系統BIOS將主引導記錄(MBR)讀入記憶體。然後，將控制權交給主引導程式，再檢查分區表的狀態，尋找活動的分區。最後，由主引導程式將控制權交給活動分區的引導記錄，由引導記錄載入作業系統。