-
鬼影
(計算機病毒)
鎖定
鬼影病毒是2010年3月15日在金山安全實驗室捕獲的一種新型的電腦病毒。
- 中文名
- 鬼影
- 類 別
- 電腦病毒
- 截獲時間
- 2010年3月15日
- 截獲者
- 金山安全實驗室
鬼影簡介
金山安全實驗室捕獲新型的電腦病毒
網絡安全技術核心就是"攻"與"防"的技術,著名的《孫子兵法》中寫到"知彼知己者,百戰不殆;不知彼而知己,一勝一負;不知彼,不知己,每戰必殆"。而解決問題,分析問題是必不可少的。
鬼影定義
鬼影
鬼影危害
鬼影
1、顛覆傳統,重裝系統無法清除
業界反病毒專家表示,一般的電腦病毒是Windows系統下的應用程序,在Windows加載之後才運行。而“鬼影”病毒的主要代碼是寄生在硬盤的主引導記錄(MBR),在電腦啓動過程中先於系統核心程序直接加載到電腦內存中運行。對於已經寄生於MBR中的病毒,安全軟件無法進行攔截。因病毒比安全軟件的啓動還要早。
2、安全軟件失效 電腦明顯變慢
"鬼影"病毒是隨某些共享軟件捆綁安裝進入電腦的,"鬼影"病毒入侵後,會釋放驅動程序改寫硬盤MBR(主引導記錄),驅動程序在開機過程中攻擊眾多殺毒軟件,令殺毒軟件失效,再下載傳統的AV終結者木馬下載器,最終目的依然是通過傳播盜號木馬,竊取用户虛擬財產牟利。中毒後,最直觀的現象是安全軟件無法正常運行,電腦明顯變慢,IE主頁被改。
3、罕見技術型病毒
"鬼影"病毒是近年來較為罕見的技術型病毒,病毒作者具有高超的編程技巧。因WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這也是引導區病毒接近消亡的重要因素。這種繞過Winxp的安全限制,直接改寫MBR的技術主要在國外技術論壇傳播,在"鬼影"病毒之前,這一技術少有被黑客實際大規模利用的案例。金山安全實驗室工程師説,"鬼影"病毒只針對Winxp系統,該病毒尚不能破壞Vista和Windows 7系統。
通過研究發現,電腦在中毒之後,會向整個內網發送大量的ARP欺騙信息,嚴重威脅網民遊戲賬户信息的安全,而且極易導致網吧大面積的斷網,極大影響了網吧的正常運營。
對ARP病毒欺騙攻擊,傳統辦法是增大路由器ARP信息主動廣播的密度。為了減輕網絡廣播的壓力,採用IP\MAC地址雙向綁定的方式進一步防禦ARP病毒的攻擊。
"鬼影"病毒是近年來罕見的技術型病毒,它具有攻擊包密集高、數量多的特點,這種攻擊已經超過普通路由器的性能極限,很容易堵死路由器網絡接口,造成全網掉線。因此,傳統ARP防禦方式無法阻擋"鬼影"。
現象:
1. 系統明顯變慢,打開網頁很慢
2.殺毒軟件打不開了,安全相關的網頁打不開了
3.重裝系統仍不能清除
4.桌面有個垃圾圖標,打開是個色情網站,無法徹底刪除
5. 遊戲賬號被盜了
至少有以上兩種現象,則説明可能中了“鬼影”病毒,請下載該專殺進行檢測並修復。
如果檢測出來不是鬼影病毒。也可以下載360系統急救箱或金山急救箱清除其他木馬。
注意:清除該病毒需要修改磁盤主引導記錄(MBR),有一定機率導致不能引導系統。
鬼影特徵
1.“鬼影”病毒母體運行後,會釋放兩個驅動到用户電腦中,並加載。和母體病毒捆綁在一起其它流氓軟件會修改桌面快捷方式,嘗試修改IE屬性。
(分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標,便於病毒的真正母體隱藏得更好)
2.a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁盤,保證病毒是優先於系統啓動,且病毒文件保存在系統之外。這樣進入系統後,病毒加載入內存,但找不到任何啓動項、找不到病毒文件、在進程中找不到任何進程模塊。
3.病毒母體自己刪除。
4.重啓系統後,主引導記錄(MBR)中的惡意代碼會對windows系統的整個啓動過程進行監控,發現系統加載ntldr文件時,插入惡意代碼,使其加載b驅動。
5.b驅動加載起來後,會監視系統中的所有進程模塊,若存在安全軟件的進程,直接結束。
6.b驅動會下載av終結者到電腦中,並運行。
7.下載的av終結者病毒會修改系統文件,對安全軟件進程添加大量的映像劫持,下載大量的盜號木馬。進一步盜取用户的虛擬財產。
8.該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統
鬼影未來
該病毒開創了中國惡意軟件編寫的先河,預計該病毒的源文件將會成為黑色產業鏈中的搶手貨,未來可能會有更多惡意軟件利用“鬼影”病毒的MBR-rootkit技術長期駐留用户電腦。每一個劃時代的病毒,都會令安全廠商頭疼不已。
