史上最顽固病毒鬼影3金山毒霸上周已完全拦截

byxxdrls

史上最顽固病毒鬼影3金山毒霸上周已完全拦截

2011-05-20来源：金山安全中心

摘要：5月19日，针对所谓史上最顽固病毒"鬼影3"，金山网络今日晚间发布公告称，在5月14日金山毒霸云安全中心已经截获该病毒并实现拦截，安装了金山毒霸的用户不会中毒，再一次体现了金山云安全的领先优势。

关键词：鬼影3,鬼影3专杀,鬼影3病毒

---

    5月19日，针对所谓史上最顽固病毒“鬼影3”，金山网络今日晚间发布公告称，在5月14日金山毒霸云安全中心已经截获该病毒并实现拦截，安装了金山毒霸的用户不会中毒，再一次体现了金山云安全的领先优势。

  

    金山网络安全专家李铁军指出，鬼影病毒是个知名度很高的病毒，它的最大特点是病毒程序在windows操作系统下直接改写硬盘主引导记录（MBR），感染该病毒后，电脑即使格式化重装，病毒仍然可以重新复活。金山网络曾在2010年3月15日发布过鬼影病毒专杀的第一个版本。

图1：金山毒霸拦截鬼影病毒的恶意行为

图2：鬼影病毒样本的入库信息

    据介绍，5月14日金山网络捕获的鬼影病毒变种，运行后会锁定浏览器首页为某网址导航站，在桌面创建多个无法简单删除的IE图标，同时在后台下载安装多个互联网软件以赚取推广费。同时，个别变种也会下载其它木马下载器和AV终结者病毒，中毒电脑可能出现游戏帐号被盗等安全风险。

    为阻止病毒通过互联网欺骗下载进行传播，金山网络构建了完备的云安全防御系统，该系统可以7*24小时自动收集、鉴定互联网新增病毒木马，并将提供病毒木马的下载地址添加为恶意网址。安装了金山毒霸2011的用户，该病毒程序的运行将被有效拦截，同时，还可防止用户无意中使用浏览器下载含有病毒木马的应用软件包。

    据金山网络云安全中心的统计数据显示，近一周，鬼影3病毒感染量并未出现异常变动。金山网络安全专家判断该病毒短期内不会出现大规模爆发，安装金山毒霸2011的用户勿须担心。同时，金山网络安全中心将密切关注该病毒的动态，根据病毒变种的具体情况，适时升级金山鬼影病毒专杀工具，以帮助那些没有安装金山毒霸的网民清除病毒。

   注：MBR，全称为Master Boot Record，即硬盘的主引导记录，是计算机启动时，最先读取的硬盘信息，加载时间比操作系统启动还要早。一般用户格式化硬盘再重装系统时，不会改写MBR，故会出现，寄生在MBR中的病毒就算格式化硬盘也清除不掉。

什么嘛

当初好像谁贴出一个截图，说金山毒霸的云鉴定把它鉴定成了安全文件

byxxdrls

回复 2楼 什么嘛 的帖子

能找到么？也许可以找到样本。

不过，毒霸的行为防御应该能防住。

-oAo-

360也说可以杀

dl123100

金山主防对改写MBR的拦截显然是不全面的

zuo

回复 3楼 byxxdrls 的帖子

我估计鬼影3和鬼影2一样，没什么突破性的改变，比TDSS差远了[:26:]目前的所谓鬼影3，在PE下应该完全能解决（如果ARK够强悍，不用PE说不定也行）

byxxdrls

回复 5楼 dl123100 的帖子

哦，金山不能光顾强调什么领先优势，得尽快完善啊。鬼影很烦啊。

byxxdrls

回复 6楼 zuo 的帖子

鬼影2其实早就出现了，所谓的让安全软件不能运行，那根本和鬼影无关，是和它下载的木马群有关。

我在毒霸看到一求助，是双硬盘的，进程中有NAT.EXE，这是最初的鬼影2吧，用金山急救箱、鬼影专杀都解决不了，不知是所谓的鬼影3呢，还是因为是双硬盘的缘故。

想找正奇要样本，他说他没有
至于TDSS么。估计难以找到中毒机。

zuo

回复 8楼 byxxdrls 的帖子

TDSS目前根本没有什么木马行为，当然不好找中毒机了[:26:]

话说鬼影1,2，3代到底是怎么区分的？我反正没发现鬼影1,2有什么区别

byxxdrls

回复 9楼 zuo 的帖子

这个具体也不知，个人感觉：鬼影1代出来的时候是通过驱动写MBR的，貌似还不能感染WIN7.而二代貌似就是无驱的，有的已能感染WIN7了。