金山"鬼影" 几年前的微点就可以防~

jiang410426

金山"鬼影" 几年前的微点就可以防~


老病毒并未真正死去 一个14年未见的引导扇区病毒
不需要受害者计算机启动就能进行感染的Boot Sector Virus ，国外一个变态方式启动的病毒 微点主动防御拦截后门行为 2008-1-11
详见：http://bbs.micropoint.com.cn/showthread.asp?tid=26236

主动防御刻不容缓！ 幸亏没有被流行起来的MBR_Rootkit
详见：http://hi.baidu.com/micropoint/b ... 4aaf0f304e15dd.html


神秘“鬼影”病毒袭击Winxp系统，重装也无法消灭

　　近日金山安全实验室捕获一种名为“鬼影”的病毒，该病毒专门攻击XP系统，由于寄生在磁盘主引导记录(MBR)，因此就算格式化重装系统也无法清除该病毒。“鬼影”病毒在难以清除的同时，也会干掉系统中的杀毒软件，并下载大量木马，堪称史上最牛的病毒。

　　病毒特征：
1.“鬼影”病毒母体运行后，会释放两个驱动到用户电脑中，并加载。和母体病毒捆绑在一起其它流氓软件会修改桌面快捷方式，尝试修改IE属性。
（分析：病毒传播者这样做的目的可能是为了转移安全厂商的目标，便于病毒的真正母体隐藏得更好）

2.a驱动会修改系统的主引导记录（mbr)，并将b驱动写入磁盘，保证病毒是优先于系统启动，且病毒文件保存在系统之外。这样进入系统后，病毒加载入内存，但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。
（“鬼影”病毒是近年来极为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术一般称之为MBR-rootkit，主要在国外技术论坛传播，在 “鬼影”病毒之前，这一技术少有被黑客利用的案例。）

3.病毒母体自删除。

4.重启系统后，主引导记录（MBR）中的恶意代码会对windows系统的整个启动过程进行监控，发现系统加载ntldr文件时，插入恶意代码，使其加载b驱动。

5.b驱动加载起来后，会监视系统中的所有进程模块，若存在安全软件的进程，直接结束。

6.b驱动会下载av终结者到电脑中，并运行。

7.下载的av终结者病毒会修改系统文件，对安全软件进程添加大量的映像劫持，下载大量的盗号木马。进一步盗取用户的虚拟财产。

8.该病毒只针对Winxp系统，尚不能破坏Vista和Win7系统。

　　“鬼影”病毒影响力分析
据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。

因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。

　　“鬼影”病毒传播方法：

当前“鬼影”病毒主要通过网页挂马传播，金山云安全系统分析该恶意软件的下载频率，结合传播病毒的网站流量分析，评估该病毒的日下载量大约为2-3万之间。　

　　MBR（Master Boot Record）,中文意为主引导记录。
电脑通电开机，主板自检完成后，被第一个读取到的位置。位于硬盘的0磁头0磁道1扇区，它的大小是512字节，不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。

DOS时代泛滥成灾的引导区病毒多寄生于此。

电脑系统开机过程：
开机通电自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。-->控制权交给主引导程序-->检查分区表状态，寻找活动的分区-->主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统启动文件。

aimt

已有人发过了：http://bbs.kafan.cn/thread-662702-1-1.html

chen月

已经看见过了  不过还是感谢LZ的分享呀