鬼影病毒简介:
鬼影病毒是一种寄生在磁盘主引导记录(mbr)内,即使格式化重装系统,也无法将其清除的病毒。当系统再次重启时,鬼影病毒会早于操作系统内核先行加载。而当鬼影病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。该病毒也因此成为国内首个“引导区”下载者病毒。
电脑感染鬼影病毒后可能出现的症状
1、电脑非常卡,操作程序有明显的停滞感,常见杀毒软件无法正常打开,同时发现反复重装系统后问题依旧无法解决。
2、系统文件被感染杀毒查杀以后提示找不到相应的dll或者系统功能不正常。目前rpcss.dll,ddraw.dll是盗号木马现在常修改的系统dll。
3、QQ号码被盗,可被黑客用来传播广告等。魔兽、DNF、天龙八部、梦幻西游等游戏账号被盗。
4、进程中存在iexplor.exe进程并指向一个不正常的网站。
5、现在鬼影共同特征就是进程里有ali.exe
6、你的电脑桌面上出现了一个讨厌的“播放器”快捷方式,而且删不掉。
7、现在的鬼影还有一个特征就是任何软件(有些例外如360急救箱),会在7——12秒内自动关闭,一些鬼影病毒可以屏蔽一些“纯鬼影专杀”,当启动专杀时,会发现专杀驱动无法成功启动。只有一些强制性的杀毒软件(如金山系统急救箱),才可以清除。
鬼影病毒的工作原理
鬼影病毒伪装为某共享软件,欺骗用户下载安装。病毒运行后,会释放2个驱动到用户电脑中,并加载。驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
重启系统后,存在于引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。b驱动会下载av终结者到电脑中,并运行。av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。
鬼影病毒清除方法:(传言win7不会被感染,建议系统升级成win 7)
在windows时代之所以很少见,并不是因为做不到——早在1998年,cih就告诉病毒编写者如何利用驱动技术绕开windows的核心保护机制——而是因为这么做的投入产出不成比例。dos下的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠mbr了;而windows的自启动项目实在是太多了,随便在注册表里改一下,一般用户根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动mbr,这纯属费力不讨好。其实从这点就可以看出,写windows下的病毒木马,技术门槛比dos下要低一些。
不过这个鬼影病毒作者还是有一点创意:他将存放在磁盘第5扇区的病毒的主要代码插入到ntldr文件中,这样就解决了自身代码在windows 下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的bios病毒提供了一个非常好的实现方法。
清除这个鬼影病毒的方法其实也很简单,格式化c盘后,再重装系统之前,先用 fdisk/mbr 命令清除掉主引导区的病毒引导代码,再重装系统就没是事了。
共有条评论 网友评论