No.105131

👦 白々哉

鬼影病毒来袭...重装系统也无法彻底删除!

写于:中华游戏网-CNYOUW 👦会员:白々哉 🕘时间:2011-03-12 14:43 👀围观:12516人 💬回复:7人

中毒了没关系，大不了重装系统。但现在，这句话将成为历史。3月15日，金山安全实验室捕获一种被命名为“鬼影”的电脑病毒，该病毒寄生在磁盘主引导记录（MBR），即使格式化重装系统，也无法将该病毒清除。当系统再次重启时，该病毒会早于操作系统内核先行加载。而当病毒成功运行后，在进程中、系统启动加载项里找不到任何异常，病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
　　颠覆传统重装系统无法清除
　　金山安全反病毒专家表示，“一般的电脑病毒是Windows系统下的应用程序，在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录（MBR），在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒，安全软件无法进行拦截。因病毒比安全软件的启动还要早。
　　李铁军表示，“鬼影”病毒是国内首个引导区下载者病毒，颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势，不仅做到了“三无”特性——无文件、无系统启动项、无进程模块，而且即使用户重装了系统，该病毒依然会再次进入用户新系统；全新的病毒技术，突破了普通杀毒软件的自保护，“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。
　　安全软件失效电脑明显变慢
　　金山安全实验室的研究人员分析发现，这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的，目前的日感染电脑约2-3万台。“鬼影”病毒入侵后，会释放驱动程序改写硬盘MBR（主引导记录），驱动程序在开机过程中攻击众多杀毒软件，令杀毒软件失效，再下载传统的AV终结者木马下载器，最终目的依然是通过传播盗号木马，窃取用户虚拟财产牟利。中毒后，最直观的现象是安全软件无法正常运行，电脑明显变慢，IE主页被改。
　　罕见技术型病毒源于国外
　　“鬼影”病毒是近年来较为罕见的技术型病毒，病毒作者具有高超的编程技巧。因WinXP系统的限制，一般手法改写MBR会被系统判定为非法，这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制，直接改写MBR的技术主要在国外技术论坛传播，在“鬼影”病毒之前，这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说，目前“鬼影”病毒只针对Winxp系统，该病毒尚不能破坏Vista和Windows7系统。
　　另据金山安全实验室研究人员透露，在目前国内安全厂商和民间反病毒高手中，能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录（MBR），病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具，在已经中毒的情况下，很难使用现有工具完成病毒清除，金山安全实验室正在编写针对“鬼影”病毒的专杀工具。? ?? ?金山毒霸已经升级，可查杀传播“鬼影”病毒的母体文件，避免更多用户受“鬼影”病毒之害，用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表，防止更多用户下载这个神秘的“鬼影”病毒。
? ?? ?磁盘主引导记录（MBR）简介：
　　MBR（MasterBootRecord），中文意为主引导记录。电脑开机后，主板自检完成后，被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR，它的大小是512字节，它是不属于任何一个操作系统，也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。
? ?　电脑系统开机过程介绍：
　　开启电源开机自检–>主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动–>系统BIOS将主引导记录(MBR)读入内存。然后，将控制权交给主引导程序，再检查分区表的状态，寻找活动的分区。最后，由主引导程序将控制权交给活动分区的引导记录，由引导记录加载操作系统。中华游戏网 cnyouw.cn

打赏楼主

SIGNATURE

评分选定举报

回复引用

No.208534

👹 ghnxxxxx

登录解锁详细资料

🕘时间: 2011-03-12[只看他][屏蔽签名|屏蔽头像] 🪜沙发

沙发，我 C A O ，谁那么缺德弄的

SIGNATURE

中华游戏网 — 玩你所玩，乐你所乐！cnyouw.cn

评分选定举报

回复引用评分

No.367333

👦 情歌唱给谁听

登录解锁详细资料

🕘时间: 2011-03-12[只看他][屏蔽签名|屏蔽头像] 🪜板凳

很不爽各大软件公司加快研发杀毒

SIGNATURE

评分选定举报

回复引用评分

No.274381

👦 002211393

登录解锁详细资料

🕘时间: 2011-03-13[只看他][屏蔽签名|屏蔽头像] 🪜宅3楼

o(︶︿︶)o 唉病毒真害人啊

SIGNATURE

评分选定举报

回复引用评分

No.388513

👧 如果爱

登录解锁详细资料

🕘时间: 2011-03-15[只看他][屏蔽签名|屏蔽头像] 🪜腐4楼

最讨厌病毒了，每次我电脑都慢。

SIGNATURE

┏ 是不是戴上耳机、就会忘掉呐些痛.
www.4391.com

评分选定举报

回复引用评分

No.391103

👹 yh798560636

登录解锁详细资料

🕘时间: 2011-03-15[只看他][屏蔽签名|屏蔽头像] 🪜宅5楼

我超那个发明的啊

SIGNATURE

中华游戏网 — 玩你所玩，乐你所乐！cnyouw.cn

评分选定举报

回复引用评分

No.379158

👦 aa1963

登录解锁详细资料

🕘时间: 2011-03-16[只看他][屏蔽签名|屏蔽头像] 🪜腐6楼

杀毒的难道不能做病毒？？？
没病毒杀毒软件卖给谁去

SIGNATURE

......

评分选定举报

回复引用评分

No.238858

👹 wang0899

登录解锁详细资料

🕘时间: 2011-03-16[只看他][屏蔽签名|屏蔽头像] 🪜宅7楼

又一个精品。谢谢楼主，太谢谢了，支持

SIGNATURE

中华游戏网 — 玩你所玩，乐你所乐！cnyouw.cn

评分选定举报

回复引用评分


	http://cnyouw.cn 您访问的链接为外部链接，请注意安全！

快速回复
限 160 字节进入高级模式[可上传附件] 加粗字体颜色背景颜色插入链接图片验证问题: 在大明湖畔等皇上的是谁？正确答案: Ctrl + Enter 快速发布匿名回贴(消耗10铜币)	🤪为防止个别捣乱会员恶意灌水注册会员发帖量达到 20 贴即可解锁快捷表情发送上一个下一个