電腦中毒怎麼辦?在此之前我們菜鳥級的都知道最常用最有效的除毒方法就是重裝系統!但現在,這已經成爲歷史。就在今天3月15日,金山安全實驗室捕獲一種被命名爲“鬼影”的電腦病毒,該病毒寄生在磁盤主引導記錄(MBR),即使格式化重裝系統,也無法將該病毒清除。當系統再次重啓時,該病毒會早於操作系統內核先行加載。而當病毒成功運行後,在進程中、系統啓動加載項裏找不到任何異常,病毒就象“鬼影”一樣在中毒電腦上“陰魂不散”。
“鬼影”簡介:
該病毒一旦進入電腦,就像惡魔一樣,隱藏在系統之外,無文件、無系統啓動項、無進程模塊,比系統運行還早,結束所有殺毒軟件,下載av終結者,盜號***,ie主頁修改等大量多品種病毒,最重要的是重裝系統都不能清除該病毒。
“鬼影”具體行爲:
1、該病毒僞裝爲某共享軟件,欺騙用戶下載安裝。
病毒文件中包含3部分文件:
A、原正常的共享軟件。
B、“鬼影”病毒,修改系統引導區(mbr),結束殺軟,下載AV終結者病毒。
C、捆綁IE首頁篡改器,修改用戶瀏覽器首頁,桌面添加多餘的快捷方式。
病毒文件中包含3部分文件:
A、原正常的共享軟件。
B、“鬼影”病毒,修改系統引導區(mbr),結束殺軟,下載AV終結者病毒。
C、捆綁IE首頁篡改器,修改用戶瀏覽器首頁,桌面添加多餘的快捷方式。
2,“鬼影”病毒運行後,會釋放2個驅動到用戶電腦中,並加載。
3,驅動會修改系統的引導區(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啓動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啓動項、找不到病毒文件、在進程中找不到任何進程模塊。
4,病毒母體自刪除。
5,重啓系統後,存在在引導區中的惡意代碼會對windows系統的整個啓動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載寫入引導區第五個扇區的b驅動。
5,重啓系統後,存在在引導區中的惡意代碼會對windows系統的整個啓動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載寫入引導區第五個扇區的b驅動。
6,b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
7,b驅動會下載av終結者到電腦中,並運行。
8,av終結者會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號***。進一步盜取用戶的虛擬財產。
“鬼影”病毒是國內首個引導區下載者病毒,顛覆了傳統病毒的感染特點以及用戶處理病毒問題的思維定勢,不僅做到了“三無”特性——無文件、無系統啓動項、無進程模塊,而且即使用戶重裝了系統,該病毒依然會再次進入用戶新系統;全新的病毒技術,突破了普通殺毒軟件的自保護,“鬼影”病毒可以說是一個具有“劃時代”特徵的電腦病毒。“鬼影”病毒是近年來較爲罕見的技術型病毒,病毒作者具有高超的編程技巧。在目前國內安全廠商和民間反病毒高手中,能夠完整分析“鬼影”病毒的人屈指可數。因病毒寄生於硬盤的主引導記錄(MBR),病毒釋放的驅動程序能夠破壞大多數安全工具和系統輔助工具,在已經中毒的情況下,很難使用現有工具完成病毒清除!因WinXP系統的限制,一般手法改寫MBR會被系統判定爲非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在“鬼影”病毒之前,這一技術少有被***實際大規模利用的案例。目前“鬼影”病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。
“鬼影”病毒如何防範?
該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成爲黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。目前只能以防爲言主,金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神祕的“鬼影”病毒。
該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成爲黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用“鬼影”病毒的MBR-rootkit技術長期駐留用戶電腦。目前只能以防爲言主,金山網盾已將傳播該病毒的惡意網頁加入阻止訪問的列表,防止更多用戶下載這個神祕的“鬼影”病毒。