1、鬼影病毒母體運行後,會釋放兩個驅動到用戶電腦中,並載入。和母體病毒捆綁在一起其他流氓軟體會修改桌面快捷方式,嘗試修改IE屬性。
分析:病毒傳播者這樣做的目的可能是為了轉移安全廠商的目標,便於病毒的真正母體隱藏得更好。
2、a驅動會修改系統的主引導記錄(mbr),並將b驅動寫入磁片,保證病毒是優先於系統啟動,且病毒檔保存在系統之外。這樣進入系統後,病毒加載入記憶體,但找不到任何啟動項、找不到病毒檔、在進程中找不到任何進程模組。
分析:由於WinXP系統的限制,一般手法改寫MBR會被系統判定為非法,這種繞過Winxp的安全限制,直接改寫MBR的技術一般稱之為MBR-rootkit。
3、病毒母體自刪除。
4、重啟系統後,主引導記錄(MBR)中的惡意代碼會監控整個windows啟動過程,發現系統載入ntldr檔時,插入惡意代碼,使其載入b驅動。
分析:將病毒代碼插入到ntldr檔中,解決自身代碼在WINDOWS下的載入問題,比寫個中斷服務程式要簡便。該思路也為真正的BIOS病毒提供了一個非常好的實現方法。
5、b驅動載入起來後,會監視系統中的所有進程模組,若存在安全軟體的進程,直接結束。
6、b驅動會下載av終結者到電腦中,並運行。
7、下載的av終結者病毒會修改系統檔,對安全軟體進程添加大量的映射劫持,下載大量的盜號木馬。
8、該病毒只針對Winxp系統,尚不能破壞Vista和Win7系統。
鬼影病毒的防範
最重要的是做好MBR的備份,以備不時之需。
鬼影病毒的清除
鬼影病毒採用的是MBR-rootkit,這在DOS時代就已有了,只是近年來很少出現。清除方法就是修復MBR,有以下幾種方法:
方法1、MBR有做過備份的,直接還原MBR備份即可;
方法2、MBR沒做過備份的,用XP系統安裝盤進入故障恢復控制臺,在命令提示符下輸入Fixmbr,然後系統提示是否更新MBR主引導記錄,選擇是,並且再輸入Fixboot,修復boot區引導即可;
方法3、DOS引導盤啟動,運行磁片分區命令 fdisk /mbr 重建MBR代碼;
注意:有些病毒可能會使得分區表和指標出現偏移,此時使用fdisk /mbr命令,指向分區表的指標會丟失,這樣的結果是,引導能力丟失,無法啟動系統。
方法4、用 DEBUG程式來運行以下代碼,將MRB清零,再重新分區
a
MOV AX,0301
MOV BX,1000
MOV CX,1
MOV DX,80
INT 13
INT 3
-
F 1000 FFFF 0
-
G
-
Q
修復MBR後,記得進行殺毒。目前,金山毒霸可查殺傳播“鬼影”病毒的母體檔,金山網盾也已將傳播該病毒的惡意URL加入阻止訪問的列表。
金山毒霸鬼影專殺
相關知識普及
MBR(Master Boot Record)
中文意為主引導記錄。電腦通電開機,主板自檢完成後,被第一個讀取到的位置。位於硬碟的0磁頭0磁軌1磁區,它的大小是512位元組,不屬於任何一個作業系統,也不能用作業系統提供的磁片操作命令來讀取。DOS時代氾濫成災的引導區病毒多寄生於此。
電腦系統開機過程
開機通電自檢-->主板BIOS根據用戶指定的啟動順序從軟碟、硬碟或光碟機進行啟動-->系統BIOS將主引導記錄(MBR)讀入記憶體-->控制權交給主引導程式-->檢查分區表狀態,尋找活動的分區-->主引導程式將控制權交給活動分區的引導記錄,由引導記錄載入作業系統啟動檔。
為了您的安全,請只打開來源可靠的網址
