遇到鬼了<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

——“鬼影”病毒遭遇记

单位一台电脑,运行慢不说,桌面上还有几个不请自来还删除不了的图标,讨厌。到安全模式中去删,嗯,可以删除了。可不要高兴得太早,重新开机,汗,又出现了。我想起了灰太狼说的一句话:“我还会回来的”。

接着找来杀软,杀、杀、杀……杀出大把病毒,痛快哦,可是重新开机,唉,“我还会回来的”。杀毒软件显然没有把毒杀尽呀。大家知道,不把毒找尽杀绝,就会在电脑里僵而不死、重新发作,蔓延不止。

看来得使通用绝杀招——重装系统。让在系统分区的病毒随老系统一起同归于尽、烟飞灰灭。这下,病毒们可以消停了吧。这可以说是大伙公认、常用、有效的终极解决方案了。

等待、等待,终于系统重新安装好了。

当我踌躇满志、信心满满打开电脑,靠,几个不请自来还删除不了的图标又跃然桌面,晕菜、吐血……这不是比灰太狼还要灰太狼吗?

因为看到桌面上有篡改的IE图标,就想到用金山网盾,下载、安装、运行,还是不行,此时我想起了本文的绝对主角——金山急救箱<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> ,金山急救箱强悍!搞定!并且查出是“鬼影”病毒。360也有急救箱,也不错的。

根据计算机特性,重装系统后,系统分区的病毒是绝对不会有的(当然你的系统安装盘中就不干净除外),只有一种可能会重新感染病毒,就是,你的非系统分区(如D\E\F盘)有病毒,而你运行这里面的含毒文件,系统再次感染(包括系统分区),如AUTORAN 病毒,你双击F盘就能再次感染。(所以啦,系统重装过,不要忙着打开其他盘,而是先来个全盘杀毒比较好)但我重装系统后,没有访问过任一非系统分区。

问题出在哪?会是在引导区吗?在硬盘上面最前面第一扇区(CHS <?xml:namespace prefix = st1 ns = "urn:schemas-microsoft-com:office:smarttags" />0.0.1)起的部分几十个扇区并不是系统分区,是MBR(包括了引导代码和硬盘分区表)和隐藏扇区,隐藏扇区内容通常为0,没有数据。这里面被写入病毒代码,那重装系统后也无法消除病毒的影响。系统启动过程大致BISO——MBR——系统分区,MBR是启动过程中无法绕过、必经的一个环节,重装系统后也就是重写系统分区内容,并不能改写MBR和其隐藏扇区的内容,所以重装系统后,问题如故。

BISO病毒我以前看过报道,即CYH病毒,1998台湾陈盈豪陈大侠整出来的,刚出来时,硕果累累,电脑死掉一大片,电脑根本就无法启动,损失估计:全球约5亿美元。他因此坐了班房,这个小男生(现在也应该40岁左右了)呆头呆脑的,有点神经病,但确实是大侠一个哦。HACK界的大侠和金庸笔下的不同,金庸笔下大侠一般威风凛凛,HACK界大侠常常看上去弱不禁风(长期熬夜熬的吧)。再后来就没有见过什么在系统分区前做文章的病毒。不是病毒制造者的忽略,他们绝对是有缝就钻,而是难度太大,当计算机启动过程中执行MBR中代码时环境绝对比不上操作系统安装完毕后,用汇编语言编写WINDOWS下运行的驱动程序,非常X

“鬼影”病毒是个什么东东呢?上网查了一下,看看百度百科中的介绍吧:原文引用

百科名片

2010315,金山安全实验室捕获一种被命名为鬼影的电脑病毒,由于该病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,同时即使格式化重装系统,也无法将彻底清除该病毒。犹如鬼影一般阴魂不散,所以称为鬼影病毒。该病毒也因此成为国内首个引导区下载者病毒。

鬼影病毒开创了中国恶意软件编写的先河,预计该病毒的源文件将会成为黑色产业链中的抢手货,未来可能会有更多恶意软件利用鬼影病毒的MBR-rootkit技术长期驻留用户电脑。每一个划时代的病毒,都会令安全厂商头疼不已。

我之见:看看吧,来者不善,善者不来呀。

鬼影病毒概念

鬼影病毒是指寄生在磁盘主引导记录( MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象鬼影一样在中毒电脑上阴魂不散

我之见:病毒果然是指寄生在磁盘主引导记录(MBR),这样就早于操作系统内核先行加载,意味着他能干掉许多杀毒软件,谁先控制计算机谁厉害嘛。

鬼影病毒的来源介绍

鬼影病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般鬼影病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在鬼影病毒之前,这一技术少有被***实际大规模利用的案例。金山安全实验室工程师说,目前鬼影病毒只针对WinXP系统,该病毒尚不能破坏VistaWindows 7系统。

  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析鬼影病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对鬼影病毒的专杀工具。改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在鬼影病毒之前,这一技术少有被***实际大规模利用的案例。金山安全实验室工程师说,目前鬼影病毒只针对WinXP系统,该病毒尚不能破坏VistaWindows 7系统。

  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析鬼影病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对鬼影病毒的专杀工具。

我之见:看官,请注意这几句

病毒 作者具有高超的编程技巧

罕见的技术型病毒

病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具

国内安全厂商和民间反病毒高手中,能够完整分析鬼影病毒的人屈指可数

 

牛在哪?

病毒 作者首先要会绕过Winxp的安全限制改写MBR

主引导记录(MBR)病毒代码能在Winxp框架上运行。MBR代码一般只能用汇编语言等低级计算机语言编写(这也是当时计算机所处的环境决定的,Winxp内核还没有安装),他是比不上C语言等高级语言功能的

驱动程序编写驱动程序原来是为计算机硬件编写的程序,比较内核、底层,开机就能加载,,这样不仅可能看不见启动项,还能先控制系统让杀毒软件不能运行。当然病毒驱动程序编写门槛也是比较高的。

以上种种都是非常有技术含量的,不仅要求病毒制造者精通各种编程语言,而且对操作系统启动、运行机理深入理解。总之,牛。

 

鬼影病毒的特征

该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号***ie主页修改等大量多品种病毒。

鬼影病毒***后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中***众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者***下载器,最终目的依然是通过传播盗号***,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。

我之见:看见了吗?MBR里面代码最后竟能做这么多坏事,可谓是穷凶极恶又不得不佩服。

鬼影病毒的工作原理

鬼影病毒伪装为某共享软件,欺骗用户下载安装。病毒运行后,会释放2个驱动到用户电脑中,并加载。驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。

  重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。b驱动会下载av终结者到电脑中,并运行。av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号***。

我之见:病毒直接从引导区第五个扇区加载入内存,当然找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块,太狠了!

 

鬼影病毒处理方法

1、金山急救箱  我已用它成功修复,极力推荐哦。

我之见:我发现病毒能够封杀金山网盾,但无力封杀金山急救箱,还是金山急救箱强悍啊。360也有急救箱,不知对“鬼影”病毒怎样,有机会想试试呢。病毒搞不掉的时候讨厌它,搞掉了又想他,哈哈。

2格式化C盘,进入dos状态,运行fdisk/mbr 命令,用以清除掉主引导区的病毒引导代码,这时候重装系统就可以了,但是这是在完全安装起作用的,如果你用是GHOST安装系统那么还要多做以下几步:

  1、通过GHOST系统盘进入PQ/PM分区工具,一般GHOST系统盘都带的。

  2、 右击c盘,选择进阶-设为作用,这样就把MBR引导层重新写了一遍,这样在引导层中的病毒也自然被剔除了。

3、 直接用GHOST系统盘安装系统就OK了。

我之见:上面这种方法不推荐,我等喜欢折腾的,想试试。他的主要思想就是修复mbr到原来的状况(不同计算机mbr代码几乎是通用的,运行以后他是不会调用第五个扇区数据的,第五个扇区数据一般也没有数据,中毒了吗,就不是这样啦)这样搞了以后就可以斩断病毒开机启动之脚,(不这样,杀毒软件就可能无法运行)然后还需用杀毒软件全盘通杀一气,应该能够搞定。

“鬼影”病毒,可让我长见识了。技术上不怕做不到,只怕想不到!
最后,给一个专家关于此病毒的介绍的链接http://litiejun.blog.51cto.com/134711/369682