鬼影[計算機病毒]

鬼影[計算機病毒]

"鬼影"病毒是,2010年3月15日,金山安全實驗室捕獲一種新型的電腦病毒。

簡介

鬼影[計算機病毒] 鬼影[計算機病毒]

2010年3月15日,金山安全實驗室捕獲一種新型的電腦病毒,由於該病毒成功運行後,在進程中、系統啟動載入項里找不到任何異常,同時即使格式化重灌系統,也無法將徹底清除該病毒。猶如"鬼影"一般"陰魂不散",所以稱為"鬼影"病毒。該病毒也因此成為國內首個"引導區"下載者病毒。

一路走來,衝擊波、震盪波、QQ病毒、傳奇木馬、熊貓燒香、機器狗……遭遇過病毒攻擊的人們依然還在為自己的損失嘆息,感慨為何不"防患於未然",面對"未然"的鬼影病毒又該如何"防患"?

網路安全技術核心就是"攻"與"防"的技術,著名的《孫子兵法》中寫到"知彼知己者,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆"。而解決問題,分析問題是必不可少的。

定義

鬼影[計算機病毒] 鬼影[計算機病毒]

鬼影病毒是指寄生在磁碟主引導記錄(MBR),即使格式化重灌系統,也無法清除的病毒。當系統再次重啟時,該病毒會早於作業系統核心先行載入。而當病毒成功運行後,在進程中、系統啟動載入項里找不到任何異常,病毒就象"鬼影"一樣在中毒電腦上"陰魂不散"。

危害

鬼影[計算機病毒] 鬼影[計算機病毒]

網民說過:中毒了沒關係,重灌系統就OK。而現在這句話將成為歷史。因該病毒寄生在磁碟主引導記錄(MBR),即使格式化重灌系統,也無法將該病毒徹底清除。

1、顛覆傳統,重灌系統無法清除

業界反病毒專家表示,"一般的電腦病毒是Windows系統下的應用程式,在Windows載入之後才運行。而"鬼影"病毒的主要代碼是寄生在硬碟的主引導記錄(MBR),在電腦啟動過程中先於系統核心程式直接載入到電腦記憶體中運行。對於已經寄生於MBR中的病毒,安全軟體無法進行攔截。因病毒比安全軟體的啟動還要早。

2、安全軟體失效 電腦明顯變慢

"鬼影"病毒是隨某些共享軟體捆綁安裝進入電腦的,"鬼影"病毒入侵後,會釋放驅動程式改寫硬碟MBR(主引導記錄),驅動程式在開機過程中攻擊眾多防毒軟體,令防毒軟體失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用戶虛擬財產牟利。中毒後,最直觀的現象是安全軟體無法正常運行,電腦明顯變慢,IE主頁被改。

3、罕見技術型病毒

"鬼影"病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在"鬼影"病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師說,目前"鬼影"病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。

通過研究發現,電腦在中毒之後,會向整個區域網路傳送大量的ARP欺騙信息,嚴重威脅網民遊戲賬戶信息的安全,而且極易導致網咖大面積的斷網,極大影響了網咖的正常運營。

對ARP病毒欺騙攻擊,傳統辦法是增大路由器ARP信息主動廣播的密度。為了減輕網路廣播的壓力,採用IP\MAC地址雙向綁定的方式進一步防禦ARP病毒的攻擊。

"鬼影"病毒是近年來罕見的技術型病毒,它具有攻擊包密集高、數量多的特點,這種攻擊已經超過普通路由器的性能極限,很容易堵死路由器網路接口,造成全網掉線。因此,傳統ARP防禦方式無法阻擋"鬼影"。

現象:

1. 系統明顯變慢,打開網頁很慢

2.防毒軟體打不開了,安全相關的網頁打不開了

3.重灌系統仍不能清除

4.桌面有個垃圾圖示,打開是個色情網站,無法徹底刪除

5. 遊戲賬號被盜了

至少有以上兩種現象,則說明可能中了“鬼影”病毒,請下載該專殺進行檢測並修復。

如果檢測出來不是鬼影病毒。也可以下載360系統急救箱或金山急救箱清除其他木馬。

注意:清除該病毒需要修改磁碟主引導記錄(MBR),有一定機率導致不能引導系統。

特徵

1.“鬼影”病毒母體運行後,會釋放兩個驅動到用戶電腦中,並載入。和母體病毒捆綁在一起其它流氓軟體會修改桌面捷徑,嘗試修改IE屬性。

(分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標,便於病毒的真正母體隱藏得更好)

2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁碟,保證病毒是優先於系統啟動,且病毒檔案保存在系統之外。這樣進入系統後,病毒載入入記憶體,但找不到任何啟動項、找不到病毒檔案、在進程中找不到任何進程模組。

3.病毒母體自己刪除。

4.重啟系統後,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啟動過程進行監控,發現系統載入ntldr檔案時,插入惡意代碼,使其載入b驅動。

5.b驅動載入起來後,會監視系統中的所有進程模組,若存在安全軟體的進程,直接結束。

6.b驅動會下載av終結者到電腦中,並運行。

7.下載的av終結者病毒會修改系統檔案,對安全軟體進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用戶的虛擬財產。

8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統

未來

該病毒開創了中國惡意軟體編寫的先河,預計該病毒的源檔案將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟體利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。

相關詞條

熱門詞條

聯絡我們