“鬼影”病毒袭击WinXP 重装也无法清除
[p=30, 2, left] 以前,常听用户说,中毒了没关系,大不了重装系统。但现在,这句话将成为历史。3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。[/p][p=30, 2, left][b] 颠覆传统 重装系统无法清除[/b][/p][p=30, 2, left] 金山安全反病毒专家表示,“一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。[/p]
[p=30, 2, left]李铁军表示,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。[/p][p=30, 2, left][b] 安全软件失效 电脑明显变慢[/b][/p][p=30, 2, left] 金山安全实验室的研究人员分析发现,这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。[/p][p=30, 2, left][b] 罕见技术型病毒 源于国外[/b][/p][p=30, 2, left] “鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统。[/p][p=30, 2, left] 另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。[/p][p=30, 2, left]金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。[/p]
[p=30, 2, left] [quote]貌似我中的就是这种病毒,不过一上来就把金山的杀毒软件给废了[/quote][/p] [em36]金山?是杀毒软件吗?顺便问一下,大家听说过瑞星么?我没听说过! 都是他们自己造出来的 不就是个引导型病毒么。。。有啥大惊小怪的呢。 嗯,给病毒开发人员提了个醒 [quote]不就是个引导型病毒么。。。有啥大惊小怪的呢。
[size=2][color=#999999]凭栏听涛 发表于 2010-3-17 10:33[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2803946&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
很多人解决不了这个引导病毒的 扯,安装系统会不处理引导区?
ghost吧?活该. 呵呵秒杀它 debug手动改MBR 什么?重装怎么可能不重写引导区?。。囧啊囧。。果然现在金山继续向瑞星学习当娱乐公司了,,, [quote]什么?重装怎么可能不重写引导区?。。囧啊囧。。果然现在金山继续向瑞星学习当娱乐公司了,,, ...
[size=2][color=#999999]lifebreak 发表于 2010-3-17 18:04[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2804839&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
金山娱乐~乐在其中~ 重装确实不能解决引导扇被修改的问题,如果你装过硬件还原卡之类的就知道了 [quote]重装确实不能解决引导扇被修改的问题,如果你装过硬件还原卡之类的就知道了 ...
[size=2][color=#999999]bodelphi 发表于 2010-3-17 18:41[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2804923&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
额?重装系统时候如果不改引导区怎么实现新系统的引导的?求解? 重新分区也不管用? [quote]额?重装系统时候如果不改引导区怎么实现新系统的引导的?求解?
[size=2][color=#999999]lifebreak 发表于 2010-3-17 19:11[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2805007&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
原版系统重装的话,确实会重写MBR。。。
但是,由于国内众多的ghost系统。。。你懂的。 [quote]重新分区也不管用?
[size=2][color=#999999]二手商人 发表于 2010-3-20 20:34[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2810973&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
MBR跟分区无关。 [quote]原版系统重装的话,确实会重写MBR。。。
但是,由于国内众多的ghost系统。。。你懂的。 ...
[size=2][color=#999999]凭栏听涛 发表于 2010-3-20 20:35[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2810979&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
原来重装的方式不同。 大约15年前,江民KV100调用fdisk/MBR的方法杀除引导型病毒!... [quote]大约15年前,江民KV100调用fdisk/MBR的方法杀除引导型病毒!...
[size=2][color=#999999]二手商人 发表于 2010-3-20 20:44[/color] [url=http://bbs.ghtt.net/redirect.php?goto=findpost&pid=2811006&ptid=212123][img]http://bbs.ghtt.net/images/common/back.gif[/img][/url][/size][/quote]
我现在还经常用这个命令呢。。。相当好用。
页:
[1]