鬼影病毒学习总结

鬼影病毒

鬼影病毒是指寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法清除的病毒。
2010年3月15日，国内某安全中心发现一种被命名为“鬼影”的电脑病毒，由于该病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，同时即使格式化重装系统，也无法彻底清除该病毒。犹如“鬼影”一般“阴魂不散”，所以称为“鬼影病毒“。该病毒也因此成为国内首个“引导区下载者病毒”。


1 来源介绍
2 特征
3 工作原理
4 出现症状
5 处理方法
▪ 重装系统
▪ 查杀方法
▪ 专杀工具
▪ 金山查杀
6 病毒变种
7 未来
来源介绍
据金山安全实验室工程师说，“鬼影”病毒是较为罕见的技术型病毒，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。
另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山已经推出了鬼影专杀工具。
金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。
以下是经过测试可穿透的还原列表：开启驱动防火墙没有测试，此测试只供大家参考
<1>.讯闪全系列还原软件(包括最新版,开启驱动防火墙无法穿透)
<2>.快速还原(包括最新版)
<3>.易速还原(包括最新版)
<4>.极速还原(包括最新版)
<5>.贝壳还原(包括最新版)
<6>.雨过天晴(包括最新版)
<7>.影子系统(包括最新版)
<8>.胜天还原(包括最新版)
<9>.冰点还原(包括最新版)
<10>.小哨兵还原卡
<11>.三茗还原卡
<12>.方正磁盘保护器
<13>.大部份防狗补丁，所有品牌电脑公司还原保护(如联想、DELL、SONY、三星等品牌)。
特征
无需寄主 结束所有杀毒软件。
该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，无文件、无系统启动项、无进程模块，比系统运行还早，结束所有杀毒软件，下载av终结者，盗号木马，ie主页修改等大量多品种病毒。
颠覆传统 重装系统无法清除。
一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR），即使用户重装了系统，仍无法将其完全清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统。
安全软件失效 电脑明显变慢
“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。
工作原理
1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）
2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
3.病毒母体自删除。
4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。
5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。
6.b驱动会下载av终结者到电脑中，并运行。
7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。
8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。（目前最新的变种可以感染vista、win7和win8，但在win8/win8.1无法破坏MBR，无法注入病毒驱动程序，比较容易处理）
出现症状
1、电脑非常卡，操作程序有明显的停滞感，常见杀毒软件无法正常打开，同时发现反复重装系统后问题依旧无法解决。
2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。rpcss.dll，ddraw.dll是盗号木马常修改的系统dll。
3、QQ号码被盗，可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。
4、进程中存在iexplore.exe进程并指向一个不正常的网站。
5、鬼影共同特征就是进程里有ali.exe
6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式，而且删不掉。
7、鬼影病毒还有一个特征就是任何软件（有些例外如360急救箱），会在7——12秒内自动关闭，一些鬼影病毒可以屏蔽一些“纯鬼影专杀”，当启动专杀时，会发现专杀驱动无法成功启动。只有一些强制性的杀毒软件（如金山系统急救箱），才可以清除。
8、还有一个共同点就是中了该病毒之后，电脑如果只装有一块硬盘可以启动系统，如果电脑装有两块硬盘以上，或者插了U盘。进入系统时就会出现蓝屏。（蓝屏原因是分区错误）
处理方法
重装系统
格式化C盘，进入dos状态，运行fdisk/mbr 命令，用以清除掉主引导区的病毒引导代码，这时候重装系统就可以了，但是这是在完全安装起作用的，如果你用是GHOST安装系统那么还要多做以下几步：
1、通过GHOST系统盘进入PQ/PM分区工具，一般GHOST系统盘都带的。
2、 右击c盘，选择进阶-设为作用，这样就把MBR引导层重新写了一遍，这样在引导层中的病毒也自然被剔除了。
3、 直接用GHOST系统盘安装系统就OK了。
查杀方法
DOS下手动查杀方法
第一步：找专杀工具：这里推荐使用“一键GHOST“，其中的DOS工具箱自带的小工具DISKRW就可以完美解决。
第二步：杀除MBR病毒
1、清除MBR以外的硬盘保留扇区。安装或制作好“一键GHOST”，开机进入一键GHOST，最终出现红色界面时按ESC键退回到主菜单，按方向键选择“DOS工具箱”-->“DISKRW" --> "3.清除" --> "清除(2)“ --> 确定。（注意，尽量使用2010版，更早的版本不能保证有此功能）。
2、修复MBR（关键一步，必须做），接着下一步，选择“4.修复”--> “修复(F)“ --> 确定。
第三步：重装或恢复系统。在第二步完成后，千万不要重启电脑进入WINDOWS了，否则会二次感染。正确的方法是，将系统安装光盘放入光驱中，重装系统。或者如果你有本地的系统备份（当然是没感染病毒之前做过的备份），也可以用“一键恢复系统”功能进行恢复。
第四步：全盘杀毒。返回WINDOWS后，需要升级你的杀毒软件到最新版本（最新病毒库），然后进行“全盘查杀”，这样可以把残留在非系统盘（比如D盘、E盘、F盘）里的病毒寄主文件杀掉，以做到“斩草除根”。
WindowsXP下MBRFix配合360安全卫士查杀
步骤一：开机打开任务管理器，结束（nat.exe）
步骤二：打开360安全卫士，选择系统修复来修复系统
步骤三：在网上下载一个工具（MBRFix），在XP下运行“CMD”进入DOS模式，运行（MBRFix /drive 0 fixmbr /yes）
重启后OK
专杀工具
“鬼影”病毒的特征之一是安全软件不能正常运行，该病毒累计感染量约30万台。若网民发现自己电脑上安装的安全软件莫名其妙不能正常运行，常见的修复工具也不能正常运行，请尝试使用金山安全中心发布的“鬼影”病毒专杀工具检查修复。此工具适用于尚未变种的鬼影病毒，一旦该病毒变种，该专杀将会无效，这里提醒大家要注意上网时的网络防护，要定期开启杀软扫描，金山毒霸已能够杀灭鬼影母体。“鬼影”病毒传播的广度分析金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。
金山查杀
金山查杀后手动善后
开始-运行-msconfig。
1.选择“启动”，把ali前面的勾去掉，单击应用。
2.开始-运行-win.ini，内容已被更改为
[DownLoad]
exe1=coopen-3.0|http://download.coopen.c/setup/v5/coopen_setup_100201.exe
exe2=
[ad]
ad1=12
[HomePage]
home=
[Time]
DownLoadIniTime=60
PopAdTime=2
DownLoadLelayTime=1
RunDelayTime=0
FirstRunExeTime=2
FirstPopWidTime=1
cjver=2
cjaddr=
[Link]
Link1=手机图铃|http://66.79.168.187:55325/tuling.html
ing.html
替换为
;msconfig ; for 16-bit app support
　　;msconfig [fonts]
　　;msconfig [extensions]
　　;msconfig [mci extensions]
　　;msconfig [files]
　　[Mail]
　　;msconfig MAPI=1
　　[MCI Extensions.BAK]
　　m2v=MPEGVideo
　　mod=MPEGVideo
　　;msconfig aif=MPEGVideo
　　;msconfig aifc=MPEGVideo
　　;msconfig aiff=MPEGVideo
　　;msconfig asf=MPEGVideo
　　;msconfig asx=MPEGVideo
　　;msconfig au=MPEGVideo
　　;msconfig m1v=MPEGVideo
　　;msconfig m3u=MPEGVideo
　　;msconfig mp2=MPEGVideo
　　;msconfig mp2v=MPEGVideo
　　;msconfig mp3=MPEGVideo
　　;msconfig mpa=MPEGVideo
　　;msconfig mpe=MPEGVideo
　　;msconfig mpeg=MPEGVideo
　　;msconfig mpg=MPEGVideo
　　;msconfig mpv2=MPEGVideo
　　;msconfig snd=MPEGVideo
　　;msconfig wax=MPEGVideo
　　;msconfig wm=MPEGVideo
　　;msconfig wma=MPEGVideo
　　;msconfig wmv=MPEGVideo
　　;msconfig wmx=MPEGVideo
　　;msconfig wpl=MPEGVideo
　　;msconfig wvx=MPEGVideo
　　[MSUCE]
　　Advanced=0
　　CodePage=Unicode
　　Font=Arial
保存，退出
病毒变种
最新高危木马“鬼影2”现身
2011年首款高危木马“鬼影2”现身网络，电脑一旦中招就会明显变慢、无法打开安全软件、重装系统甚至格式化硬盘也无济于事，危害超过当年的“熊猫烧香”、“犇牛”等恶性木马下载器。360安全中心发现，“鬼影2”主要通过捆绑游戏外挂进行传播，对20余款热门网游实施盗号，保守估计该木马至少已攻击了10万台网民电脑。
经360安全中心分析，“鬼影2”木马主要威胁Windows XP系统用户。该木马之所以难以清除，原因在于它采用了三招“组合拳”：第一招，欺骗用户关闭安全软件，“否则就无法达到游戏外挂的透视效果”；第二招，暴力破坏被用户手动关闭的安全软件，使其无法正常工作，并阻止用户重新安装运行主流安全软件；第三招，感染电脑硬盘MBR（主引导记录），使用户无论是重装系统、还是格式化硬盘都无法彻底清除木马。
专门感染MBR的“鬼影”木马已经出现，然而“鬼影2”比它的原型更为顽固。根据360安全专家石晓虹博士介绍，所有正规安全软件在发布时都带有数字签名，相当于安全软件的“身份证”。“鬼影2”木马恰恰利用了这一点，凡是带着“身份证”的正规安全软件一律阻止运行，包括国内外11家主流安全厂商的产品。
据介绍，“鬼影2”木马典型的中招症状包括：无法安装运行主流安全软件、电脑明显变慢、CF（穿越火线）等20余款热门游戏帐号被盗、任务管理器出现1.tmp等随机数字名称的可疑进程。
史上最强“鬼影3”现身网络
继“鬼影2”后，网络上又出现了超级顽固的病毒“鬼影3”（只感染Windows XP系统）
鬼影3病毒的表现现象：
1、杀毒软件反复对beep.sys和c盘根目录下alg.exe报毒却无法清除；
2、浏览器首页被篡改为bubu888网址导航（也可能为其它网址导航）；
3、电脑桌面出现“免费电影”、“美女图片”等广告图标，不定期弹出广告网页。
4、 同时在后台下载安装多个互联网软件以赚取推广费。
5、 个别变种也会下载其它木马下载器和AV终结者病毒，中毒电脑可能出现游戏帐号被盗等安全风险。
“鬼影”病毒家族主要包括三代“鬼影”病毒，无论重装系统或是格式化硬盘都无法清除病毒，鬼影3与鬼影1、鬼影2的区别在于它释放了一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作。对杀毒软件来说，不清除“保镖”驱动就无法修复MBR，不修复MBR又无法清除“保镖”驱动，从而陷入“鬼影3”怎么都杀不干净的死循环中。
鬼影3病毒传播渠道
1.通过某个视频专用播放器捆绑传播
2.通过网络游戏外挂捆绑病毒传播
3.通过“不良网站”提供的视频捆绑病毒
4.通过部份恶意游戏下载站下载的游戏捆绑传播
“鬼影3”
格式化硬盘都删不掉的“鬼影”系列病毒又出现了。某安全中心捕获最新的“鬼影3”病毒后发现，该病毒采用非常顽固的方式强驻受害电脑，常规杀毒技术无法清理，甚至病毒作者似乎也认为“鬼影3”根本不可能被杀掉，并没有像前两代“鬼影”一样破坏杀毒软件。为此，360已紧急开发出专杀工具，提醒受害网民尽快安装使用。
据国内某知名杀软厂商介绍说，“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录（MBR），无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时，不同厂商推出的专杀工具都会首先修复MBR，然后再全面扫描清除病毒残骸，然而这个方法在查杀“鬼影3”时却遇到了难题。
不过，“鬼影3”病毒并非完全无药可解。某安全中心经过研究，已经找到了突破该病毒“保镖”驱动的办法，能够顺利修复MBR并彻底清除病毒。另外，如果网友电脑开启了百度卫士，也可以在“鬼影3”感染电脑前就将其拦截，避免电脑遭受不必要的损失。
“鬼影3”病毒典型症状包括：篡改浏览器首页为bubu888网址导航、桌面出现“免费电影”、“美女图片”等广告图标、不定期弹出网页广告、杀毒软件反复扫出beep.sys和alg.exe文件却无法清除。如果符合上述情况，网友应立即访问360官网下载使用专杀工具。
鬼影3病毒查杀以及防御
1.建议网友的电脑开启了杀毒软件的监控防御，会在“鬼影3”运行之前就将其拦截，避免电脑遭受不必要的财产损失。
“鬼影”家族进化史
“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。
新鬼影病毒主要通过假冒游戏外挂和电影播放器传播，其主要攻击目标是游戏玩家和在线看视频的网民。中毒后的主要表现是主页被锁定，杀毒软件反复报毒（因病毒母体会下载盗号木马）。即使格式化重装，这些现象依旧不能解决。
新鬼影病毒可以改写特定型号主板BIOS，这很容易让人联想到Windows 95时代流行的CIH病毒，当时有杀毒厂商称CIH病毒可以破坏硬件。中毒后的电脑将完全黑屏，不能启动。
新鬼影病毒的目的和CIH完全不同，CIH是以破坏系统为主，而新鬼影则是以赚钱为主，不会破坏系统，中毒电脑不会出现黑屏和分区受损。其主要目的是为导航站带流量，再下载更多木马或木马下载器，推广其他病毒或软件。
新鬼影病毒先判定当前系统主板BIOS是否为Award BIOS，然后再查找SMI端口，写入新的BIOS内容，其目的是保护硬盘MBR（主引导记录）被其他程序改写。这样就造成杀毒软件或一些磁盘编辑工具无法查看或编辑主板MBR信息，从而使病毒难以清除。
鬼影6病毒查杀以及防御
2012年8月，鬼影6出来了。
特征：
1：在C:\Program Files\Internet Explorer 目录下多了skype.exe， qq.exe，my_705file.exe， my_Xcode.exe等3 4个病毒文件。temp目录下，也有很多个.exe文件，这些文件可以手动删除，但是重启之后就出现，
2：360安全卫士、金山卫士和QQ管家，以及杀毒软件都不能启动。
3：电脑开机之后很慢，进程里面有一个skype.exe，结束这个进程之后，过五六分钟电脑会稍微快一点。
处理办法：
任何杀毒软件都没用，360保险箱和金山鬼影专杀都无效，如果系统是windows2003，360保险箱还会误伤系统，导致系统无法启动。GHOST，重装系统，格盘，甚至分区都不能决绝这问题。
办法：制作一张带Diskgen的PE启动U盘或许光盘，（不会做，百度一下，这个不难。）如果是U盘，用U盘启动电脑（不会的，百度一下，或许打电话咨询你的电脑主板厂家），进去PE系统，打开Diskgen，选中你的硬盘，点击重建MBR，然后保存，退出，重启电脑。（注意，这时候千万别急着进系统）,这时候引导区的病毒已经消灭了，但是系统的病毒还没有消灭，这时候可以格式化C盘，然后重装系统，或许直接GHOST还原C盘。等系统装完，或许GHOST还原完毕，病毒就彻底消灭了。
未来编辑
鬼影病毒开创了中国恶意软件编写的先河，预计该病毒的源文件将会成为黑色产业链中的抢手货，未来可能会有更多恶意软件利用“鬼影”病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒，都会令安全厂商头疼不已。
========

鬼影病毒的解决办法

分步阅读
鬼影病毒2010年3月15日被发现   鬼影2  鬼影3 鬼影6接踵而来  XP系统深受其害  最近几年可以感染vista、win7、win8  但由于win8的安全保护措施，无法再注入病毒驱动程序，无法修改MBR，故在win8上与普通病毒无异。 

工具/原料
带PE启动U盘 XP WIN7 WIN8系统
鬼影专杀工具 金山毒霸 360卫士 360杀毒
方法/步骤
1
第一步关闭电脑   重启用U盘进入diskgen分区软件进行分区  不要进PE分区  进入diskgen全部删除所有分区  重建MBR  然后重新分区   完成后进入ghost装新系统  也可光盘安装将系统安装完成  这只是第一步  病毒没有被杀死。


2
第二步进入操作系统  先装金山毒霸进行扫描  之后下载鬼影专杀工具  打开点开始扫描  扫描到病毒立即进行删除   然后重启电脑  用金山毒霸 和鬼影专杀工具 360杀毒 机箱双层扫描查杀 。下面一张图片是我13年自己电脑中鬼影病毒截下的图片


3
最后一次扫描没有发现病毒 病毒基本已经全部清除了。然后打开自己平时使用电脑的软件试机  速度和中毒完全是两种不一样的


END
注意事项
重装系统前把网线拔掉 下载专杀工具用U盘从其他电脑拷贝过来
重要数据先备份 备份出来的数据都是带有病毒的 请注意了
========

鬼影病毒分析介绍及手工处理方法

http://netsecurity.51cto.com/art/201212/375005.htm
自2010年鬼影病毒问世以来，可谓是开创了一类新型恶意软件编写的先河。经过两年多的发展，鬼影病毒“繁衍”了一代又一代，形成了特性鲜明的鬼影家族系列。
AD：51CTO 网+ 第十二期沙龙：大话数据之美_如何用数据驱动用户体验
自2010年鬼影病毒问世以来，可谓是开创了一类新型恶意软件编写的先河。经过两年多的发展，鬼影病毒“繁衍”了一代又一代，形成了特性鲜明的鬼影家族系列。之所以称之为鬼影病毒，主要是因为该病毒寄生在磁盘主引导记录（MBR）当中，即使格式化硬盘，甚至重装系统，也无法将其完全清除，犹如“鬼影”一般附身于计算机中“阴魂不散”，令人十分恼火。


鬼影病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。该病毒一旦进入电脑，就像恶魔一样，隐藏在系统之外，并早于操作系统内核先加载，所以哪怕是重做了系统，只要MBR没重写，病毒就仍然存在。鬼影病毒目前已发展到第六代，已出现多个变种，且每个变种的行为都不尽相同，但它们都有一个共性，就是修改MBR。


MBR，全称为Master Boot Record，即硬盘的主引导记录。位于硬盘的0柱面0磁道1扇区，不属于任何一个操作系统，是计算机通电开机、主板自检完成后，访问硬盘时必须读取的首个扇区。主引导扇区中记录着硬盘本身的相关信息以及硬盘各个分区的大小和位置信息，是数据信息的重要入口。如果它受到破坏，硬盘上的基本数据结构信息将会丢失，需要用繁琐的方式试探性的重建数据结构信息后，才可能重新访问原先的数据。


主引导扇区的读取流程如下：


1. BIOS加电自检；


2. 读取MBR，当BIOS检查到硬件正常并与CMOS中的设置相符后，按照CMOS中对启动设备的设置顺序检测可用的启动设备；


3. 检查MBR的结束标志位是否等于55AAH，若不等于则转去尝试其他启动设备，如果没有启动设备满足要求，则显示"NO ROM BASIC"，然后死机；


4. 当检测到有启动设备满足要求后，BIOS将控制权交给相应启动设备；


5. 根据启动设备的MBR中的引导代码启动引导程序。


通过上述流程可以看出，MBR对于操作系统来说是多么重要，一旦被破坏或被病毒恶意修改，对于系统来说都是致命的。因鬼影病毒而兴起的MBR-Rootkit技术颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，也算是具有划时代的意义。本文介绍的是鬼影家族的第三代产品，具有一定代表性。


病毒现象及行为


1） 桌面和快速启动栏多出伪装的IE快捷方式，主页被篡改为http://123.765321.info，且无法修改。




图1：IE主页被篡改


2） “文件夹选项”设置被修改，隐藏文件扩展名、不显示隐藏的文件和文件夹，修改后重启电脑又被改为隐藏。




图2：“文件夹选项”设置被修改


3） 任务管理器活动进程中多出一个alg.exe，通过查看进程PID，与XueTr中显示的进程对比，不难得出，PID为1784的才是正常的系统进程，位于C:\WINDOWS\system32下，而PID为1848的进程其实是C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp伪装成的alg.exe，迷惑人的。




图3：病毒释放Vanlmh.tmp伪装成系统进程alg.exe


4） 使用XueTr的检测MBR Rookit功能，提示“未知MBR”。




图4：XueTr检测到MBR异常


上述现象只是肉眼看得到的表象，经过详细分析后得到的病毒行为主要有以下几个方面：


A. 病毒运行后会打开磁盘获取磁盘信息，通过计算磁盘的大小来计算用来数据存放的磁盘具体位置。读取MBR并备份，以便系统初始化时调用原始的MBR完成对系统的引导，然后修改MBR，实现在系统启动的第一时间获取控制权。


B. 释放驱动文件hello_tt.sys并加载，挂钩SCSI的DriverStartIO函数，用来过滤某些操作实现数据隐藏，并保护病毒修改的MBR不被修复掉。等待5秒，释放C:\Documents and Settings\All Users\Documents\My Videos\Vanlmh.tmp，创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动项，名称为Alg，路径为C:\alg.exe。


C. 删除C:\WINDOWS\system32\drivers\beep.sys文件，这样重启电脑后hello_tt.sys便可替代beep.sys顺利加载到系统中。


D. 修改“文件夹选项”的设置，隐藏文件扩展名，不显示隐藏文件，在桌面和快速启动栏创建伪装的IE快捷方式，修改主页为http://123.765321.info，联网下载指定文件。


手工处理方法


1） 结束病毒活动进程并删除文件。




图5：结束Vanlmh.tmp进程并删除文件


2） 删除病毒创建的Alg启动项。




图6：删除病毒创建的Alg启动项


3） 摘除hello_tt.sys，替换掉beep.sys挂在SCSI下的钩子。




图7：摘除SCSI hook


4） 通过XueTr重置MBR，这里需要事先备份一份正常的MBR，由它来替换被病毒修改的MBR。




图8：修复MBR


5） 在IE设置中把病毒劫持的主页修改回来，从其他干净系统中拷贝一个beep.sys放到系统drivers目录下。


通读完全文，是不是觉得网上传得神乎其神的鬼影病毒不再那么陌生和可怕了？MBR-RootKit技术之前主要在国外技术论坛传播，近几年因鬼影病毒的出现才在国内火了一把。在鬼影病毒之前，这项技术少有被黑客利用的案例，但未来可能会有更多恶意软件利用该技术长期驻留在用户电脑中。所以对于普通网友来说，多了解一些病毒知识，防患于未然是绝对有好处的。
========